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随 着 nternet 的 飞速 发 展 ， 各 大 互联 网 企业 对 硬件 、 软 件 的 要 求 都 上 了 一 个 新 台阶 。 经 常 
作为 服务 器 操作 系统 软件 的 Linux 系统 ， 近 年 来 也 获得 了 巨大 进步 。 纵 观 国内 外 的 各 大 IT 企 
业 ，Linux 服务 器 成 为 企业 必 不 可 少 的 选择 ， 其 低 成 本 、 高 性 能 与 高 可 靠 性 等 特点 使 得 其 在 服 
务 器 操作 系统 上 牢 牢 站 稳 。CentOS 作为 Linux 服务 器 操作 系统 之 一 ， 获 得 了 包括 淘宝 、 网 易 
等 IT 巨头 在 内 的 互联 网 企业 青睐 。 而 从 招聘 反映 的 情况 来 看 ， 与 Linux 相关 的 人 才 ， 也 逐渐 
呈 紧 张 态势 。 只 有 学 好 Linux 系统 基础 及 高 技能 的 人 才 ， 才 能 游 丸 于 Linux 运 维 职场 并 获得 较 
好 的 职业 前 景 。 

目前 图 书市 场 上 关于 CentOS 应 用 的 图 书 不 少 ， 但 关于 最 新 版 的 CentOS 7 基础 与 高 级 应 
用 的 图 书 却 很 少 。 本 书 便 是 以 实战 为 主旨 ， 从 最 基础 的 知识 应 用 开始 ,逐渐 深入 到 最 实用 的 知 
识 和 安全 领域 ， 让 读者 全 面 、 深 入 、 透 彻 地 理解 CentOS 7 基础 知识 ， 并 从 基础 知识 出 发 ， 提 
高 不 同 软件 之 间 的 整合 力 及 实际 应 用 的 能 力 。 


本 书 特色 


1. 注重 基础 知识 

为 了 读者 能 更 好 地 使 用 CentOS 7， 本 书 中 的 许多 章节 都 着 重 介 绍 了 基础 知识 。 基 础 知识 在 运 
维 体系 中 至 关 重 要 ， 也 是 能 举一反三 地 在 不 同 环境 中 应 用 软件 、 整 合 软件 的 基础 。 

2. 案例 式 学 习 模式 

在 本 书 中 , 每 个 应 用 平台 都 列举 了 不 同 环 境 中 应 用 的 实例 、 解 决 方案 , 真正 做 到 以 案例 教学 。 
同时 每 个 案例 都 做 到 有 一 定 的 启发 性 ， 以 便于 读者 能 应 对 更 多 环境 。 

Linux 系统 中 的 许多 软件 都 设计 得 十 分 灵活 ， 每 个 环境 中 都 可 以 找到 许多 种 解决 方案 。 针 对 
本 书 中 的 案例 ， 都 做 了 详尽 的 解释 ， 让 读者 能 明白 编者 的 意图 。 

4. 突显 官方 文档 的 作用 


CentOS 7 是 由 一 堆 开源 软件 组 成 的 操作 系统 ， 针 对 这 样 一 个 软件 平台 ， 每 个 软件 的 官方 文档 
都 有 指导 性 意义 。 在 本 书 中 的 一 些 较为 复杂 的 平台 和 软件 , 都 为 读者 指明 了 如 何 获 取 到 官方 文档 ， 
让 读者 能 更 好 地 学 习 和 应 用 。 
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第 1 篇 CentOS 7 概述 及 运 维基 础 (第 1~3 章 ) 

本 篇 主要 介绍 了 CentOS 7 的 最 新 技术 要 点 及 运 维 的 基础 知识 。 主要 包括 CentOS 7 的 新 特性 、 
安装 过 程 及 注意 事项 、TCP/IP 协议 、 网 络 设置 、DHCP 服务 器 配置 、DNS 域名 服务 器 配置 等 。 
第 2 篇 服务 器 与 集群 架设 〈 第 4 一 9 章 ) 

本 篇 主要 介绍 了 CentOS 7 中 应 用 最 广泛 的 应 用 技术 和 服务 器 架设 方法 。 主 要 包括 路 由 与 策略 
路 由 、 文 件 服务 器 (NFS、Samba 和 FTP)、 目 前 最 流行 的 LAMP、LNMP 架设 方法 及 目前 应 用 最 
为 广泛 的 集群 和 双 机 热 备 等 。 

第 3 篇 虚拟 化 与 云 计算 〈 第 10 一 13 章 ) 


本 篇 主要 介绍 了 目前 最 引 人 注 目的 虚拟 化 和 云 计 算 平 台 。 主 要 包括 KVM 虚拟 化 、oVirt 虚拟 
化 管理 平台 、GlusterFS 存储 、OpenStack 及 OpenNebula 云 平 台 等 。 
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开导 Linux 系 统管 理 与 运 维 的 大 门 


Linux 是 一 个 免费 、 开 源 的 操作 系统 软件 ， 是 自由 软件 和 开源 软件 的 典型 代表 ， 很 多 大 型 公 
司 或 个 人 开发 者 都 选择 使 用 Linux。Linux 版 本 很 多 , 有 适合 个 人 开发 者 的 操作 系统 , 如 Ubuntu， 
也 有 适合 企业 级 的 操作 系统 ， 如 Red Hat Enterprise Linux 。 本 书 主要 介绍 CentOS 系统 。 

本 章 主要 涉及 的 知识 点 有 : 


@ 认识 Linux 


@ Linux 的 内 核 版 本 
@ Linux 的 发 行 版 本 
@ 了 解 CentOS 


你 必须 知道 的 Linux 版 本 问题 


Linux 是 一 个 开源 的 软件 , 发 行 版 众多 。Linux 常见 的 内 核 版 本 有 哪些 ? Linux 又 有 哪些 发 
行 版 ? 本 节 主 要 介绍 这 方面 的 知识 。 


1.1.1 Linux 的 内 核 版 本 

Linux 内 核 由 C 语言 编号， 符合 POSIX 标准 。 但 是 Linux 内 核 并 不 能 称 为 操作 系统 ， 内 
核 只 提供 基本 的 设备 驱动 、 文 件 管理 、 资 源 管 理 等 功能 , 是 Linux 操作 系统 的 核心 组 件 。Linux 
内 核 可 以 被 广泛 移植 ， 而 且 还 对 多 种 硬件 都 适用 。 

Linux 内 核 版 本 有 稳定 版 和 开发 版 两 种 .Linux 内 核 版 本 号 一 般 由 3 组 数字 组 成 , 比如 2.6.18 
内 核 版 本 : 

第 1 组 数字 2 表示 目前 发 布 的 内 核 主 版 本 ; 

第 2 组 数字 6 表示 稳定 版 本 ， 如 为 奇数 则 表示 开发 中 版 本 ; 

第 3 组 数字 18 表示 修改 的 次 数 。 

前 两 组 数字 用 于 描述 内 核 系 列 用 户 可 以 通过 Linux 提供 的 系统 命令 查看 当前 使 用 的 内 核 
版 本 。 
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1.1.2 Linux 的 发 行 版 本 
Linux 有 众多 发 行 版 ， 很 多 发 行 版 还 很 受 欢 迎 ， 有 非常 活跃 的 论坛 或 邮件 列表 ， 许 多 问题 
都 可 以 得 到 快速 解答 。 
(1) Ubuntu 发 行 版 提供 友好 的 桌面 系统 ， 用 户 通 过 简单 地 学 习 就 可 以 熟练 使 用 该 系统 ， 
自 2004 年 发 布 后 Ubuntu 为 桌面 操作 系统 做 出 了 极 大 的 努力 和 贡献 。 与 之 对 应 的 Slackware 和 
FreeBSD 发 行 版 则 需要 经 过 一 定 的 学 习 才能 有 效 地 使 用 其 系统 特性 。 
(2) openSUSE、Fedora 和 Debian 发 行 版 介 于 上 述 几 种 系统 中 间 。openSUSE 引入 了 另外 
-种 包 管理 机 制 YaST，Fedora 革命 性 的 RPM 包 管 理 机 制 极 大 地 促进 了 发 行 版 的 普及 , Debian 
则 采用 的 是 另外 一 种 包 管 理 机 制 DPKG (Debian Package)。 
(3) CentOS 源码 来 自 Red Hat Enterprise Linux (RHEL)， 其 社区 提供 及 时 的 安全 更 新 和 
软件 升级 服务 ， 它 是 一 个 企业 级 发 行 版 ， 适 用 于 普通 开发 者 和 服务 器 领域 。 


1 .2 centos 之 于 Linux 


CentOS (Community Enterprise Operating System， 社 区 企业 操作 系统 ) 最 初 是 由 一 个 社区 
主导 的 操作 系统 ， 其 来 源 于 Linux 的 另 一 个 最 重要 的 发 行 版 Red Hat Enterprise Linux〈 后 面 简 
称 为 RHEL)。 由 于 CentOS 并 不 向 用 户 收 取 任 何 费用 ， 因 此 得 到 了 大 量 技术 实力 较 高 的 运 维 
人 员 的 青睐 而 发 展 壮大 。 


1.2.1 CentOS 简介 

说 到 CentOS 必然 需要 先 说 明 RHEL, 而 说 到 RHEL 又 不 得 不 说 RHEL 的 运作 模式 。, RHEL 
的 发 行 公司 通常 被 称 为 红帽子 公司 ， 其 发 行 的 RHEL 与 Windows 这 类 闭 源 操作 系统 的 发 行 模 
式 截 然 不 同 。 由 于 RHEL 采用 了 GNU 计划 中 的 大 部 分 软件 , 因此 红帽子 公司 在 发 行 RHEL 时 ， 
通常 需要 使 用 两 种 形式 发 行 同一 个 版 本 。 第 一 种 称 为 二 进 制版 , 用 户 可 以 直接 利用 这 个 版 本 安 
装 并 使 用 ;， 另 一 种 形式 则 为 遵循 GNU 计划 规定 的 源码 形式 。 获 得 和 安装 RHEL 都 无 须 付 费 ， 
但 升级 和 技术 支持 需要 付费 ,因此 一 些 经 费 紧张 的 小 型 企业 无 法 使 用 这 种 昂贵 而 又 十 分 优秀 的 
操作 系统 ， 在 这 种 形式 下 CentOS 应 运 而 生 。 

CentOS 根据 RHEL 释 出 的 源 代 码 进行 二 次 编译 ,并 去 掉 RHEL 相关 的 图 标 等 具有 商业 版 
权 的 信息 后 形成 与 RHEL 版 本 相对 应 的 CentOS 发 行 版 。 虽 然 CentOS 是 根据 RHEL 源 代码 编 
译 而 成 ， 但 CentOS 与 RHEL 仍 有 许多 不 同 之 处 : 


(1) RHEL 中 包含 了 红 帆 自行 开 发 的 闭 源 软件 (如 红 帽 集群 套件 等 )， 这些 软件 并 未 开放 
源 代码 ， 因 此 也 就 未 包含 在 CentOS 发 行 版 中 。 
(2) CentOS 发 行 版 通常 会 修改 RHEL 中 存在 的 一 些 BUG， 并 提供 了 一 个 yum 源 以 便 用 
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户 可 以 随时 更 新 操作 系统 。 
(3) 与 RHEL 提供 商业 技术 支持 不 同 ，CentOS 并 不 提供 任何 形式 的 技术 支持 ， 用 户 遇 
到 的 问题 需要 用 户 自行 解决 ， 因 此 CentOS 对 技术 人 员 的 要 求 更 高 。 

RHEL 与 CentOS 还 有 许多 不 同 之 处 ， 此 处 不 一 一 列举 ， 感 兴趣 的 读者 可 以 参考 相关 资料 
了 解 。 值 得 注意 的 是 2014 年 初 ，CentOS 与 Red Hat 同时 宣布 ，CentOS 将 加 入 Red Hat， 共 同 
打造 CentOS， 业 界 普遍 希望 此 举 能 让 CentOS 操作 系统 更 加 强大 。 

虽然 CentOS 的 技术 门槛 更 高 ， 但 其 稳定 、 安 全 、 高 效 等 特点 吸引 了 一 大 批 经 验 丰 富 的 IT 
管理 人 员 加 入 , 从 近 些 年 来 的 使 用 情况 来 看 , 其 发 展 非常 迅猛 。 许多 IT 企业 都 在 使 用 CentOS， 
其 中 不 乏 像 淘 宝 、 网 易 这 样 的 IT 巨头 。 


1.2.2 ”CentOS 7 的 最 新 改进 

CentOS 每 一 次 新 版 本 的 发 布 都 会 提供 许多 新 的 功能 ， 并 对 已 经 存在 的 软件 进行 了 大 量 的 
优化 。 例 如 CentOS 5 发 布 后 ， 用 户 惊奇 地 发 现 yum 包 管 理 器 更 具 人 性 化 了 ， 而 CentOS 6 对 
虚拟 化 进行 了 大 量 的 修改 。CentOS 7 也 不 例外 ， 其 改进 主要 有 : 


(1) 更 新 内 核 版 本 为 3.10.0: 新 版 本 的 内 核 将 对 swap 内 存 空 间 进行 压缩 ， 这 将 显著 提高 
IO 性 能 ;优化 KVM 虚拟 化 支持 ， 开 启 固态 硬盘 和 机 械 硬 盘 框 架 ， 同 时 使 用 这 两 种 硬盘 的 系 
统 将 会 提速 ， 更 新 和 改进 了 图 形 、 音 频 声音 驱动 等 。 

(2) 文件 系统 方面 : 默认 支持 XFS 文件 系统 ， 并 更 新 了 KVM， 使 其 可 以 支持 ext4 和 
XFS 快照 。 

(3) 网 络 方面 : 支持 Firewalld (动态 防火 墙 ;， 防 火 墙 现 在 可 以 支持 区 域 和 网 络 信任 ， 
配置 防火 墙 之 后 也 不 需要 重新 启动 防火 墙 就 可 以 应 用 配置 了 ;更 新 了 高 性 能 网 络 驱 动 等 。 

(4) 支持 Linux 容器 : Linux 容器 能 提供 轻 量化 的 虚拟 化 ， 以 便 隔离 进程 和 资源 ， 这 将 
提高 资源 的 使 用 效率 。 

(5) 用 Systemd 替换 SysVinit， 更 好 的 服务 管理 框架 能 使 存在 依赖 的 服务 之 间 更 好 地 并 
行 化 。 

CentOS 7 有 许多 改进 ， 此 处 不 再 一 一 列举 ， 感 兴趣 的 读者 可 以 阅读 相关 文档 了 解 。 对 于 
运 维和 人 员 而 言 ，CentOS 新 版 本 无 疑 会 在 功能 、 操 作 便捷 性 和 性 能 等 方面 带 来 巨大 改变 ， 甚 至 
一 些 操作 方式 (例如 防火 墙 、 系 统 服务 管理 ) 也 会 发 生 改变 , 这些 改变 需要 运 维 人 员 一 一 适应 ， 
以 高 效 地 管理 你 的 系统 。 


1 了 Linux 运 维 工 程 师 的 技能 


对 运 维 工 程 师 而 言 , 需要 了 解 的 知识 可 以 归纳 为 宏观 和 微观 两 个 层面 。 宏观 层 面 需要 了 解 
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整个 系统 的 架构 , 不 同 的 服务 是 如 何 一 环 扣 一 环 协同 工作 的 ; 而 从 微观 层面 则 需要 运 维 工程 师 
了 解 系统 的 每 一 个 工作 步骤 。 本 节 将 试图 从 不 同 的 技术 层面 介绍 运 维 工 程 师 需要 的 技能 。 


1.3.1 系统 和 系统 服务 

系统 作为 服务 的 承载 ， 无 论 是 在 安装 过 程 中 还 是 在 管理 、 维 护 过 程 中 都 需要 一 定 的 技能 ， 
这 些 技能 包括 : 基础 命令 的 使 用 、 系 统 中 的 工具 例如 awk、sed、 日 志 工具 等 )、 系 统 中 重要 
配置 文件 等 。 除了 这 些 基础 技能 之 外 ， 运 维 工 程 师 还 需要 对 Linux 系统 本 身 有 一 定 的 了 解 ， 以 
便 排 错 及 优化 系统 。 

运 维 工 程 师 做 的 所 有 工作 都 是 为 了 应 用 系统 服务 能 正常 运行 ,因此 这 是 运 维 工程 师 技能 的 
核心 部 分 。 常 见 的 应 用 系统 服务 有 : 


(1) 网 页 服务 : Apache、Nsginx 配合 PHP 无 疑 是 Linux 系统 中 最 常用 的 网 页 服务 器 平台 ， 
大 部 分 企业 都 会 使 用 这 两 个 软件 搭建 网 站 平台 , 因此 熟悉 这 两 种 软件 成 了 运 维 工程 师 的 必 备 技 
能 之 一 。 通常 需要 了 解 这 两 个 软件 的 安装 、 配 置 和 优化 及 如 何 配 合 PHP 进行 工作 ， 当 然 最 重 
要 的 是 能 通过 日 志 排除 故障 。 

(2) 数据 库 : 与 网 页 服务 器 协同 运行 的 通常 还 有 数据 库 ， 虽 然 Linux 能 使 用 的 数据 库 有 
很 多 ， 例 如 MySQL、PostgreSQL、Oracle 等 ， 但 MySQL 无 疑 是 使 用 最 广泛 的 数据 库 软 件 。 
因此 需要 熟练 地 安装 MySQL， 并 能 熟练 地 在 MySQL 数据 库 中 查询 、 插 入 、 修 改 、 删 除数 据 。 

(3) 脚本 语言 : 随 着 自动 化 运 维 的 普及 ， 运 维 工程 师 会 接触 到 大 量 的 脚本 。 接 触 最 多 的 
当 属 Bash Shell 脚本 , 这 类 脚本 普遍 存在 于 Linux 系统 中 , 因此 必须 掌握 这 类 脚本 。 除 此 之 外 ， 
Python 和 Perl 也 是 运 维 中 经 常 使 用 的 语言 ， 但 这 二 者 通常 只 需要 熟练 地 使 用 一 种 即 可 。 

(4) 文件 服务 : 文件 服务 通常 是 FTP 和 Samba， 目 前 仍 有 不 少 企 业 仍 在 使 用 这 类 服务 ， 
因此 需要 熟练 使 用 。 


除 以 上 列举 的 常见 应 用 系统 服务 之 外 ， 还 有 一 些 服务 ， 例 如 DNS、 邮 件 服务 等 ， 这 些 服 
务 也 有 不 少 应 用 ， 此 处 不 再 一 一 列举 。 


1.3.2 ”网 络 知识 
网 络 承 载 着 所 有 的 网 络 服务 , 是 运 维 工作 的 基础 所 在 。 目 前 大 部 分 企业 中 通常 会 有 专职 人 
员 管 理 网 络 , 因此 Linux 运 维 工 程 师 通常 无 须 处 理 与 网 络 有 关 的 事情 。 但 也 有 一 些小 型 企业 没 
有 专门 的 网 络 管理 员 ， 这 时 就 需要 运 维 工程 师 自 己 亲 手 建立 网 络 或 在 已 有 网 络 上 进行 扩展 。 
由 于 Linux 中 的 系统 服务 与 网 络 息息相关 ， 因 此 无 论 所 在 企业 是 否 有 专职 网 络 管理 人 员 ， 
运 维 工程 师 都 须要 具备 一 定 的 网 络 知识 , 以便 发 生 故 障 时 判断 问题 出 在 哪儿 。 网络 知识 可 以 概 
括 为 以 下 几 个 部 分 : 


(1) 网 络 基础 知识 部 分 : 包括 IP 地 址 与 子 网 、 路 由 等 。 无 论 企业 是 否 有 专职 网 络 管理 人 
员 ， 操 作 系统 的 网 络 环境 都 要 运 维 工 程 师 设 置 ， 因 此 这 部 分 知识 必须 要 掌握 。 
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(2) 网 络 结构 知识 部 分 : 包括 VLAN、 交 换 机 与 路 由 器 配置 、 网 络 拓扑 等 。 运 维 工程 师 
至 少 应 该 了 解 这 些 知 识 ， 以便 准确 判断 故障 发 生 于 何 处 。 

(3) TCP 和 UDP 协议 、 防 火 墙 : 在 运 维 工 作 中 这 些 知 识 必 不 可 少 ， 例 如 优化 系统 、 防 
止 攻击 、 配 置 防火 墙 等 都 需要 这 些 知 识 。 


网 络 知识 远 不 止 以 上 列举 的 这 些 ， 但 对 于 运 维 工程 师 而 言 ， 不 必 完 全 掌握 ， 有 时 只 需要 了 
解 对 端 设备 类 型 、 特 性 就 可 以 完成 大 部 工作 。 


1.4 4 等 


Linux 是 一 个 免费 、 开 源 的 操作 系统 软件 ， 是 自由 软件 和 开源 软件 的 典型 代表 ， 很 多 大 型 
公司 或 个 人 开发 者 选择 使 用 Linux。Linux 在 服务 器 领域 也 具有 广泛 的 应 用 。 本 章 主要 介绍 了 
Linux 的 版 本 、CentOS 的 发 展 及 特点 ， 还 有 运 维 工程 师 需要 具备 的 技能 等 知识 。 
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学 习 Linux 首先 要 了 解 Linux 的 安装 。 安装 Linux 有 多 种 方法 , 可 以 直接 将 Linux 安装 到 某 台 
机 器 上 ， 也 可 以 采用 虚拟 机 安装 。 本 章 首 先 介绍 虚拟 机 的 相关 知识 ， 演 示 如 何在 虚拟 机 上 安装 
Linux， 然 后 介绍 Linux 的 其 他 安装 方式 。 通 过 本 章 ， 读 者 可 以 掌握 Linux 的 系统 安装 过 程 。 

本 章 主要 涉及 的 知识 点 有 : 

@ ”认识 虚拟 机 

@@ 如何 安装 Linux 

@ 安装 后 如 何 进行 配置 

@ ”旧版 本 如 何 升级 


安装 CentOS 必须 知道 的 基础 知识 


作为 一 个 企业 使 用 的 专业 操作 系统 ， 直 接 使 用 CentOS 对 初学 者 有 较 大 难度 。 这 是 因为 
CentOS 中 有 许多 非常 专业 的 概念 和 软件 结构 ， 在 正式 开始 之 前 ， 本 节 将 介绍 安装 CentOS 必 
须知 道 的 一 些 基础 知识 。 


2.1.1 磁盘 分 区 

安装 一 个 全 新 的 CentOS 如 同安 装 全 新 的 Windows 一 样 , 都 需要 先 对 磁盘 进行 分 区 。 对 于 个 人 
学 习 用 户 而 言 ， 推 荐 读者 使 用 一 个 比较 合理 的 静态 分 区 方案 。 一 方面 静态 分 区 方案 不 太 复杂 ， 另 一 
方面 手动 进行 分 区 方案 〈 而 不 是 由 安装 程序 自行 分 区 ) 可 以 认识 Linux 系统 中 各 目录 的 作用 。 

在 Windows 系统 中 ， 分 区 类 型 是 一 个 已 经 被 淡化 的 概念 ， 但 在 Linux 系统 分 区 时 ， 这 些 
概念 依然 存在 。 因 此 首先 介绍 一 下 分 区 类 型 : 


(1) 主 分 区 : 主 分 区 可 以 直接 用 来 存放 数据 ， 但 在 一 个 硬盘 上 主 分 区 最 多 只 能 有 4 个 ， 
因此 如 果 想 在 一 个 硬盘 上 创建 4 个 以 上 分 区 ， 光 主 分 区 是 不 够 的 。 

(2) 扩展 分 区 : 扩展 分 区 也 是 一 种 主 分 区 ， 但 扩展 分 区 不 能 用 来 存放 数据 ， 但 可 以 在 扩 
展 分 区 之 上 青 划分 可 以 存放 数据 的 逻辑 分 区 。 

(3) 逻辑 分 区 : 逻辑 分 区 是 在 扩展 分 区 的 基础 上 建立 的 ， 可 以 用 来 存放 数据 。 
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从 上 面 的 介绍 中 可 以 看 出 ， 如 果 需 要 划分 4 个 以 上 分 区 ， 就 必须 使 用 扩展 分 区 ， 然 后 在 扩 
展 分 区 的 基础 上 划分 多 个 逻辑 分 区 。 

明白 了 分 区 类 型 的 概念 之 后 ， 安 装 CentOS 时 还 需要 制订 一 个 分 区 方案 。 在 制订 分 区 方案 
之 前 首先 需要 明确 一 个 概念 ， 在 Windows 系统 中 ， 不 同 的 分 区 被 使 用 C、D、E 等 盘 符 蔡 代 ， 
只 要 进入 这 些 盘 符 就 进入 了 相应 的 分 区 。 但 在 Linux 系统 中 没有 盘 符 的 概念 , 不 同 的 分 区 被 挂 
在 不 同 的 目录 下 面 ， 这 个 过 程 称 为 挂 载 ， 目 录 称 为 挂 载 点 。 只 要 进入 挂 载 点 目录 就 进入 了 相应 
的 分 区 ， 这 样 做 的 好 处 是 用 户 可 以 按 自 己 的 需要 为 某 个 目录 单独 扩展 空间 。 

制订 分 区 方案 首先 需要 了 解 自己 的 需求 ,生产 环境 中 的 系统 与 以 学 习 为 目的 的 分 区 方案 肯 
定 不 同 。 对 于 以 学 习 为 目的 的 初学 者 而 言 ， 一 个 最 简单 的 分 区 方案 应 该 包括 以 下 内 容 : 


(1) /boot: 创建 一 个 约 300MB~500MB 的 分 区 挂 载 到 /boot 下 面 ， 这 个 分 区 主要 用 来 存 
放 系 统 引导 时 使 用 的 文件 ， 通 常 我 们 称 为 引导 分 区 。 

(2) swap 分 区 : 这 个 分 区 没有 挂 载 点 ， 大 小 通常 为 内 存 的 2 倍 。 系 统 运行 时 ， 当 物理 内 
存 不 足 时 ， 系 统 会 将 内 存 中 不 常用 的 数据 存放 到 swap 中 ， 即 swap 此 时 被 当 作 了 虚拟 内 存 。 

(3) 根 分 区 “/” 根 分 区 的 挂 载 点 是 “/”， 这 个 目录 是 系统 的 起 点 ， 可 以 将 剩余 的 空间 
都 分 到 这 个 分 区 中 。 此 时 该 分 区 中 包含 了 用 户 家 目录 、 配 置 文件 、 数 据 文件 等 内 容 ， 初 学 者 系 
统 中 的 这 些 数据 都 不 会 太 多 ， 因 此 推荐 将 他 们 都 放 在 一 起 。 


以 上 就 是 一 个 最 简单 的 分 区 方案 ， 初 学 者 也 可 以 尝试 将 再 多 几 个 分 区 ， 将 其 他 目录 也 挂 载 
到 分 区 中 ， 例 如 分 一 个 500MB 的 分 区 挂 载 到 用 户 家 目录 /home 下面。 如 果 是 生产 环境 就 需要 根 
据 具 体 业务 来 决定 分 区 方案 ， 生 产 环境 分 区 方案 一 般 奉行 系统 、 软 件 与 数据 分 开 的 原则 。 即 操 
作 系统 和 应 用 软件 放 在 本 地 硬盘 上 ， 数 据 单独 存放 于 存储 或 单独 的 分 区 中 ， 这 种 方案 一 方面 分 
类 清晰 ， 读 写 速度 相对 更 快 ; 另 一 方面 即使 存放 系统 和 软件 的 硬盘 损坏 ， 数 据 也 不 会 有 所 损失 。 


| 分 区 类 型 在 安装 操作 系统 时 不 会 有 具体 体现 ， 但 在 操作 系统 安装 完成 后 使 用 fdisk 等 工具 
t 添加 新 硬盘 分 区 时 会 用 到 。 


2.1.2 静态 分 区 的 缺点 及 逻辑 卷 管理 简介 

对 于 普通 用 户 而 言 ， 直 接 对 硬盘 分 区 然后 挂 载 这 种 使 用 静态 分 区 的 方法 几乎 没有 什么 问 
题 。 但 对 于 某 些 特定 的 生产 环境 而 言 , 这 种 方法 弊 大 于 利 。 例如 要 求 不 间断 运行 的 数据 库 中 心 ， 
这 类 服务 会 随时 间 增 加 逐渐 占用 大 量 硬盘 空间 。 如 果 使 用 静态 分 区 方案 , 这 类 服务 会 在 硬盘 空 
间 耗 尽 后 自动 停止 即使 运 维 工 程 师 及 早 发 现 , 也 会 在 更 换 硬盘 时 停止 服务 。 因 此 这 类 要 求 不 
间断 运行 的 服务 ， 最 好 不 要 使 用 静态 分 区 方案 。 

为 了 防止 需要 不 间断 运行 服务 因 硬 盘 空 间 耗 尽 而 停止 , 此 时 应 该 采用 更 加 先进 的 逻辑 卷 管 
理 (Logical Volume Manager， 逻 辑 卷 管理 常 简写 为 LYM) 方案 。LVM 先 将 硬盘 分 区 转化 为 物 
理 卷 (PV)， 然 后 将 物理 卷 组 成 卷 组 (VG)， 然 后 在 卷 组 的 基础 上 再 划分 逻辑 卷 (LV )， 最 后 
就 可 以 使 用 逻辑 卷 存 放 数 据 了 。 使 用 逻辑 卷 有 以 下 优点 : 
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(1) 可 以 解决 硬盘 空间 不 足 ， 需 要 停止 服务 迁移 数据 的 问题 。 虽 然 在 划分 逻辑 卷 时 指定 
了 大 小 , 但 只 要 卷 组 中 还 有 剩余 空间 ， 就 可 为 逻辑 卷 扩 容 , 扩容 过 程 是 在 线 进行 的 ， 这 意味 着 
无 须 停止 服务 就 可 以 进行 即使 卷 组 中 没有 剩余 空间 ,也 可 以 向 卷 组 添加 新 物理 卷 为 卷 组 扩容 。 

(2) 当 硬 盘 空间 不 足 时 ， 可 以 添加 更 大 的 硬盘 ， 从 而 将 卷 组 中 那些 容量 较 小 的 硬盘 移出 
卷 组 ， 这 个 过 程 也 可 以 在 线 进行 ， 无 须 关 闭 服务 。 

(3) 可 以 为 逻辑 卷 添加 快照 卷 ， 利 用 这 一 功能 可 以 实现 数据 备份 等 操作 ， 而 无 须 担心 数 
据 的 一 致 性 受到 影响 。 

逻辑 卷 管理 还 有 许多 其 他 可 能 ,例如 减 小 逻辑 卷 空间 等 ， 此 处 不 再 一 一 介绍 ， 感 兴趣 的 读 
者 可 以 自行 阅读 相关 文档 了 解 。 虽然 逻辑 卷 有 诸多 好 处 , 但 依然 建议 初学 者 在 安装 系统 时 使 用 
静态 分 区 ， 待 系统 安装 好 之 后 再 学 习 逻 辑 卷 操作 。 


2.1.3 ”虚拟 化 和 VMware Workstation 简介 

虚拟 化 技术 是 指 在 一 台 计 算 机 上 同时 运行 多 个 逻辑 计算 机 ， 这 些 逻 辑 计算 机 可 以 运行 不 同 的 
操作 系统 , 拥有 相互 独立 的 CPU、 内 存 等 硬件 , 运行 时 互相 不 影响 。 虚拟 化 技术 的 好 处 是 将 CPU、 
内 存 等 硬件 资源 实现 动态 分 配 、 灵 活 高 度 使 用 ， 从 而 提高 资源 的 利用 效率 。 如 今 虚拟 化 厂商 和 相 
关 的 虚拟 化 软件 有 许多 ， 但 对 于 初学 者 普遍 推荐 使 用 VMware 公司 的 Workstation。 

VMware 公司 是 最 早 从 事 虚拟 化 技术 的 公司 之 一 ， 也 是 虚拟 化 技术 的 领导 厂商 ， 公 司 针对 
不 同 的 客户 需求 开发 了 许多 虚拟 化 产品 。 例 如 针对 个 人 桌面 的 Workstation， 用 于 企业 环境 的 
VMware vSphere 等 。 本 书 中 多 使 用 VMware Workstation 作 演示 ，VMware Workstation 运行 时 
界面 如 图 2.1 所 示 。 


Workstation 10 


时 Ee 员 过 相去 服务 于 本 


了 FS 


Workstation 可 以 虚拟 许多 操作 系统 ,例如 Windows 7、 各 种 发 行 版 的 Linux 和 Unix、Solaris、 
Novell NetWare 等 。 为 了 读者 能 更 好 地 使 用 Workstation， 现 将 一 些 常 见 使 用 技巧 列举 如 下 : 


(1) 虚拟 机 的 监视 器 : 打开 某 个 虚拟 机 的 电源 之 后 ，Workstation 会 自动 显示 虚拟 机 监视 
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器 。 将 鼠标 移动 到 监视 器 内 并 单 击 ，Workstation 会 自动 将 鼠标 和 键盘 的 控制 权 交 给 正在 运行 
的 虚拟 机 。 如 果 要 让 宿主 计算 机 重新 获得 鼠标 和 键盘 的 控制 权 ， 可 以 使 用 Alt+Ctrl 快捷 键 。 

(2) 当 虚 拟 机 获得 鼠标 和 键盘 的 控制 权 后 ， 可 以 进行 任何 输入 和 控制 ， 但 使 用 组 合 键 
AlttCtrltDel 将 被 宿主 计算 机 获得 ， 此 时 可 以 使 用 AltrCtrltInsert 替代 或 在 菜单 栏 的 虚拟 机 下 
面 单 击发 送 Alt+Ctrl+Del。 

(3) Workstation 为 虚拟 机 提供 了 多 种 网 络 : 如 果 要 让 虚拟 机 使 用 宿主 机 的 网 络 可 以 使 用 
桥接 模式 (bridged); 如 果 仅 想 让 虚拟 机 连接 网 络 可 以 选择 NAT 模式 ; 如 果 只 想 让 宿主 机 与 虚 
拟 机 通信 可 以 使 用 仅 主机 模式 (HostOnly); 如 果 宿 主机 有 多 个 网 络 ， 可 以 在 虚拟 网 络 编辑 器 
中 设置 。 

(4) Workstation 附带 有 快照 功能 ， 使 用 快照 功能 将 虚拟 机 保持 在 某 一 刻 ， 使 用 一 段 时 间 
后 返回 作 快 照 的 时 刻 。 

Workstation 是 一 个 功能 十 分 强大 的 虚拟 化 软件 ， 其 使 用 方法 和 技巧 有 很 多 ， 此 处 不 再 一 
-介绍 ， 感 兴趣 的 读者 可 以 自行 阅读 相关 文档 了 解 。 


VMware Workstation 是 一 个 收费 软件 , 读者 完全 可 以 选择 Oracle VM VirtualBox 这 类 免费 
| 软件 来 替代 。 


2.1.4 ”下载 最 新 的 CentOS 安装 版 本 
目前 最 新 的 版 本 为 CentOS 7， 要 安装 首先 需要 从 其 官方 网 站 上 下 载 ， 其 官方 网 站 为 
http://www.centos.org/。 可 以 直接 在 浏览 器 中 输入 网 址 访问 , 也 可 以 在 搜索 引擎 中 输入 CentOS， 
然后 在 搜索 结果 中 选择 其 官方 网 站 访问 ， 如 图 2.2 所 示 。 
CentOS 
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Get CentOS 7 Now 


图 2.2 CentOS 官方 网 站 


在 其 官方 网 站 中 单 击 左 上 方 的 “GET CENTOS” 或 单 击 下 方 的 “Get CentOS 7 Now ”按钮 ， 
在 下 载 页 面 中 选择 安装 镜像 类 型 。 此 处 选择 “DVD ISO” 标 准 安装 镜像 即 可 ， 接 下 来 的 页 面 
将 选择 从 哪个 镜像 站 点 下 载 ， 国 内 通常 可 以 使 用 网 易 、 中 国 科 技 大 学 (网 址 开头 为 
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http://centos.ustc.edu.cn) 等 速度 不 错 的 站 点 。 

除了 DVD 标准 安装 镜像 之 外 ， 还 有 Everything 版 〈 完 整 版 安装 光盘 )、NetImstall 版 (网 
络 安装 映像 ) 等 ， 这 些 安装 映像 都 可 以 从 http://mirrors.163.com/centos/7.0.1406/isos/x86_64/ 处 
下 载 。 


| 下 载 完成 后 是 一 个 扩展 名 为 iso 的 光盘 映像 文件 ， 可 以 使 用 软 碟 通 等 软件 将 光盘 映像 文件 
| 刻录 为 光盘 使 用 ， 虚 拟 机 也 可 以 直接 使 用 映像 文件 作为 光盘 使 用 。 


| 


完成 之 前 的 知识 积累 和 软件 下 载 后 ， 就 可 以 开始 安装 CentOS 了 。 读 者 可 能 会 遇 到 不 同 的 
环境 ， 因 此 本 节 将 模拟 不 同 的 环境 ， 使 用 不 同 的 方法 安装 CentOS。 


2.2.1 创建 虚拟 机 
在 虚拟 中 单 击 菜单 栏 中 的 “文件 ”在 弹出 的 菜单 中 选择 “新 建 虚拟 机 ”之 后 将 弹出 新 建 
虚拟 机 向 导 ， 如 图 2.3 所 示 。 
欢迎 使 用 新 建 虚拟 机 向 导 


您 毅 望 估 肌 什么 类 2 时? 


XT 
通过 几 个 簿 单 的 步骤 8 六 Workstation 10.0 
大 以 机 


自 定义 (总 织 XC) 
es 
vmware El 苗 内 性 等 咏 级 选项 


Workstation 


图 2.3 新 建 虚拟 机 向 导 
首先 需要 选择 采用 什么 类 型 新 建 虚拟 机 ,如果 使 用 自 定义 , 向 导 将 会 要 求 用 户 选择 虚拟 机 
的 兼容 版 本 ，SCSI 控制 器 类 型 等 ， 此 处 选择 “典型 ”， 然 后 单 击 “ 下 一 步 ”。 接 下 来 向 导 会 要 
求 用 户 选择 安装 来 源 ， 如 图 2.4 所 示 。 
通常 不 建议 大 家 在 此 处 选择 安装 光盘 ， 此 处 建议 选中 “ 稍 后 安装 操作 系统 ”， 并 单 击 “ 下 
- 步 ”。 接 下 来 向 导 会 提示 用 户 选 择 操 作 系 统 类 型 ， 如 图 2.5 所 示 。 
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安装 容 户 机 操作 系统 
虚拟 机 如 局 柳 理 机 ， 需 要 曲 作 系统 。 您 将 如 何 去 装 容 户 机 担 作 系统 ? 


雪 开 天: 
目 雪 六 光 盘 (D)} 
加 DD pw 出 本 (@ 


日 安装 程 序 光盘 喘 像 文件 (so)(M): 


及 作 率 经 (Sj>] 
健 的 志 拟 机 格 旧 会 一 个 空白 大 盘 * 


Cr- | [IE2>] 9] CEs ] [ED>] | WN |] 


图 2.4 选择 安装 来 源 图 2.5 选择 操作 系统 类 型 


此 处 选择 “客户 机 操作 系统 ”为 “Linux”， 然 后 在 “版 本 ”列表 中 选择 “CentOS 64 位 ” 
(截至 本 书 编写 时 CentOS 7 还 没有 发 布 32 位 版 , 因此 此 处 选择 64 位 版 ), 然 后 单 击 “ 下 一 步 ”。 
接 下 来 向 导 会 提示 用 户 命名 虚拟 机 ， 如 图 2.6 所 示 。 

在 虚拟 机 名 称 中 输入 虚拟 机 名 ,然后 单 击 位置 后 面 的 “浏览 ”按钮 选择 虚拟 机 文件 保存 
的 目录 ， 最 后 单 击 “ 下 一 步 ”进入 指定 磁盘 容量 页 面 ， 如 图 2.7 所 示 。 


命名 虚拟 机 指定 滋 盘 容 里 
不 要 为 比 虚 拟 机 使 用 什么 名 种? 磁盘 大 小 为 条 少 ? 


于 机 各 (VY 而 机 生态 作为 -个 或 多 个 文件 存 入 在 主机 的 要 于 各 中 。 这 些 文件 最 初 和 
人 小 "着 着 你 向 虚拟 机 中 法 加 应 程序 、 文 件 和 才 据 而 有 交大 。 
地 大 让 入 大 小 (G8)(5): ES 


位 置 (L 
CentOS 64 位 的 建议 大 小 : 20 GB 


EVitual Machinas\CentOS 7 
在 "编辑 "> 首选 项 中 本 更改 默认 位 置 。 


为 单个 文 伯 (Q》 
将 虑 相生 拆 分 戌 多 个 文件 (MM) 
失地 本 机 之 动机， 但 可 能 会 科 人 大 容量 放 的 


CEs®) [CE ws | Et) Fs) [a 
图 2.6 命名 虚拟 机 图 2.7 指定 磁盘 容量 


如 果 仅 需要 安装 基本 版 的 CentOS 7， 磁 盘 空 间 10GB 已 经 足够 使 用 了 ; 如 果 要 存放 其 他 
文件 则 按 文 件 大 小 调整 硬盘 空间 大 小 。 之 后 将 选择 虚拟 磁盘 存储 为 单个 文件 还 是 多 个 文件 , 这 
是 由 存放 虚拟 机 文件 的 分 区 类 型 决定 的 。 如 果 文件 类 型 为 FAT32， 必 须 选 择 存储 为 多 个 文件 ， 
这 是 因为 FAT32 不 支持 4GB 以 上 的 单个 文件 .用 户 可 以 在 对 应 的 盘 符 上 单 击 右键 选择 “属性 ”， 
在 弹出 的 常规 页 面 中 查看 文件 系统 类 型 。 选 择 好 磁盘 选项 后 ， 单 击 “ 下 一 步 ”就 会 弹出 完成 创 
建 页 面 ， 如 图 2.8 所 示 。 


制 
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已 准备 好 创建 谨 拟 机 
单 击 ' 实 成 从 刘 虚 蕉 机 。 然 后 JJ 以 家 甘 CentOS 64 位 。 
将 下 用 下 列 设 千 e 键 虚拟 机 : 


CantDs7 
E\Vitual Machnes\CentOs 7 


图 2.8 ”完成 创建 页 面 
在 完成 创建 页 面 中 ,可 以 单 击 “ 自 定义 硬件 ”按钮 弹出 修改 虚拟 机 的 硬件 设备 页 面 。 在 自 
定义 硬件 设备 页 面 中 ,需要 检查 内 存 容量 应 该 大 于 512MB, 否则 CentOS 将 无 法 启动 安装 程序 ; 
如 果 要 使 用 U 盘 、 移 动 硬盘 等 设备 ， 硬 件 中 必须 包含 USB 控制 器 ;安装 时 需要 使 用 光盘 ， 因 
此 CD/DVD 设备 也 必 不 可 少 。 确认 以 上 信息 之 后 就 可 以 单 击 “ 完 成 ”按钮 ， 完 成 虚拟 机 创建 。 


2.2.2 ”光盘 安装 CentOS 7 
Linux 的 安装 方法 有 很 多 种 ， 本 小 节 主要 以 光盘 安装 为 例 介绍 Linux 的 安装 过 程 及 相关 的 
参数 设置 。 详 细 步 又 如 下 : 


人 ON 打开 创建 的 虚拟 机 , 单 击 “ 编 辑 虚 拟 机 设置 ”， 或 在 主 窗 体 右 侧 库 中 找到 新 建 的 虚拟 机 
右键 单 击 ， 并 在 弹出 的 菜单 中 选择 “设置 ”， 调 出 虚拟 机 设置 窗口 ， 如 图 2.9 所 示 。 


本 放风 ED 下 全 六 人 (MM) 
Mr. 


2.9 ”虚拟 机 设置 窗口 


在 虚拟 机 设置 窗口 中 单 击 硬件 选项 中 的 “CD/DVD (IDE)”， 然 后 在 右 侧 选择 “使 用 物理 
驱动 器 ”( 即 使 用 宿主 机 的 光驱 ) 或 “使 用 ISO 映像 文件 ”读者 可 根据 实际 情况 进行 选择 ， 
此 例 中 选择 “使 用 ISO 映像 文件 ”并 单 击 浏览 选择 下 载 的 光盘 文件 ， 完 成 后 单 击 “ 确 定 ” 保 
存 设置 即 可 。 

[02 通过 以 上 步 又 完成 虚拟 机 的 参数 设置 ， 下 一 步 是 启动 虚拟 机 ， 单 击 “ 开 启 虚 拟 机 ” 

选项 或 单 击 其 中 的 绿色 箭头 即 可 启动 虚拟 机 ， 如 图 2.10 所 示 


所 


图 2.10 启动 虚拟 机 
03 启动 后 耐心 等 待 安装 程序 引导 完毕 ， 即 进入 Linux 的 安装 界面 。Linux 的 安装 和 
Windows 的 安装 类 似 ， 如 图 2.11 所 示 


Install Cent0S 7 
Test this media & install Cent0S 7 


eshoot ing 


futonatic boot in 59 seconds... 


图 2.11 Linux 引导 选择 画面 
画面 中 给 出 了 三 个 选项 ,“Install CentOS 7”、“Test this media & install CentOS 7” 和 
“Troubleshooting”。 第 一 个 选项 表示 直接 安装 CentOS7, 第 二 个 选项 表示 先 测试 光盘 有 无 错误 
然后 再 安装 ， 第 三 个 选项 主要 用 来 测试 内 存 和 启动 救援 模式 修复 已 存在 的 CentOS。 此 示例 中 
选择 第 一 项 ， 直 接 安 装 CentOS 7， 如 果 对 安装 光盘 表示 怀疑 也 可 选择 第 二 项 。 
选中 第 一 项 “Install CentOS 7” 并 按 Enter 键 , 等 待 数 秒 后 会 提示 用 户 按 Enter 键 启动 安装 
程序 ， 此 时 可 以 按 Enter 键 或 等 待 数秒 待 系统 自动 启动 安装 程序 。 


CentOS 7 系统 管理 与 运 维 实战 


人 4 安装 程序 启动 后 ， 首 先 会 提示 用 户 在 安装 过 程 中 使 用 的 语言 ， 如 图 2.12 所 示 。 
CENTOS 7 INSTALLATION 

太 加 
centos WELCOME TO CENTOS 7. 


What language would you like to use dunng the installation process? 


| Er 


i English (Unred Kingdom} 


Afrik 


Amcg Amharic eth 
English (Australia) 
aal Arabic 


English (canada 
pi Assamese 


English (Denmark) 


Asturlanu 。 Asruran Engush (retand) 
Senapyckag Belarusian English (New Zealand) 
Smrapekw Bulgarian English (Nigeria) 

MT Bengali English (Hong Kong SAR China) 


图 2.12 ”安装 程序 询问 安装 过 程 中 使 用 的 语言 

此 处 可 以 保持 默认 ， 也 可 以 在 左 侧 选项 中 选择 “中 文 ” 右 侧 中 选择 “简体 中 文 《中 国 ) 。 
需要 注意 的 是 此 处 选择 的 语言 仅 为 安装 过 程 中 使 用 的 语言 , 并 不 影响 系统 的 最 终 语言 。 本 例 中 
左 侧 选择 “中 文 ” 右 侧 选择 “简体 中 文 〈 中 国 )”， 单 击 Continue 完成 设置 。 
人 05 接 下 来 安装 程序 将 显示 安装 信息 摘要 界面 ， 如 图 2.13 所 示 。 


安装 信息 摘要 CENTOS 7 安装 
因 m 
本 地 化 
日 期 和 时 间 (T) 键盘 (K) 
亚洲 /上 海 时 区 汉语 
语言 支持 (L) 
简体 忠文 (中 国 ) 
软件 
安装 源 们 软件 选择 (5) 
本 地 介质 县 小 安装 
系统 
安装 位 置 D) 网 络 和 主机 名 (N) 
前 已 选 绎 自动 分 区 未 连 拓 
退出 (9) 


图 2.13 ”安装 信息 摘要 界面 


安装 程序 将 需要 用 户 设 置 的 信息 分 为 三 个 部 分 : 本 地 化 、 软 件 和 系统 ， 完 成 这 些 设置 后 方 
可 继续 安装 。 
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906 如 图 2.13 所 示 ， 在 本 地 化 中 系统 已 经 按 之 前 设置 的 语言 预 设 了 时 区 、 键 盘 类 型 和 语 
言 支持 三 个 选项 ， 如 需要 修改 直接 鼠标 单 击 对 应 的 图 标 即 可 。 首 先 日 期 和 时 间 中 的 
时 区 已 经 被 设置 为 “亚洲 /上 海 ”， 单 击 “ 日 期 和 时 间 ” 弹 出 日 期 和 时 间 设 置 窗口 ， 
如 图 2.14 所 示 。 


地 区 (R): 亚洲 ~ 城市 OQ: 上 海 


入 入 | 人 ^ 


11 : 08 PM 


~v vlv 


© 24 9s) 


| 


图 2.14 日 期 和 时 间 设 置 窗口 


在 日 期 和 时 间 设 置 窗 口中 , 可 以 在 地 区 和 城市 中 选择 需要 使 用 的 时 区 , 也 可 以 在 下 方 地 图 
中 单 击 对 应 的 区 域 来 设置 时 区 。 网 络 时 间 设 置 是 用 来 设置 是 否 让 操作 系统 自动 从 时 间 服 务 器 同 
步 时 间 , 设置 此 项 需要 在 系统 设置 中 先 设置 网 络 。 如 果 已 经 设置 网 络 ， 可 以 拖 动 网 络 时 间 后 面 
的 滑 块 至 开启 位 置 即 可 , 而 如 需 对 时 间 服 务 器 进行 设置 , 可 以 单 击 滑 块 右 侧 的 齿轮 按钮 添加 或 
删除 时 间 服务 器 。 

在 窗口 的 下 方 可 以 设置 当前 日 期 和 时 间 及 时 间 显 示 的 制式 等 ， 读 者 按 需 要 进行 设置 即 可 ， 
完成 设置 后 单 击 左上 方 的 “完成 ”按钮 返回 安装 信息 摘要 界面 。 

本 地 化 中 的 键盘 选项 已 被 设置 为 “汉语 ”， 而 语言 支持 选项 中 也 已 自动 选择 添加 简体 中 文 
支持 ， 通 常 都 无 须 在 做 设置 。 


若 选择 英语 作为 系统 的 默认 语言 ， 也 应 该 在 语言 支持 中 选择 安装 简体 中 文 相关 的 软件 包 ， 
| 否则 某 些 中 文 命名 的 文件 可 能 无 法 正常 显示 。 


人 7 安装 信息 摘要 界面 中 的 软件 部 分 ， 主 要 是 用 来 定制 需要 安装 的 软件 包 及 软件 包 的 来 
源 。 其 中 安装 源 表示 安装 时 软件 包 的 来 源 ， 此 时 安装 程序 已 自动 将 来 源 设置 为 本 地 
介质 即 光盘 ， 无 须 修 改 。 软 件 选择 选项 表示 安装 操作 系统 时 需要 一 并 安装 的 软件 ， 
默认 设置 为 最 小 安装 即 只 安装 系统 最 基本 的 组 件 ， 单 击 软件 选择 进入 软件 定制 界 
面 ， 如 图 2.15 所 示 。 
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基本 环境 已 先 环境 的 附加 选项 
基本 功能 用 于 在 红 幅 企业 半 Linux 的 之 前 版 本 中 构建 的 应 用 程 厚 的 
基础 1 器 惠 容 福 床 慰 
文件 及 打印 服务 器 基本 开发 环境 。 
用 于 企业 的 文件 、 打 印 及 存储 琶 务 乱 , 智 蜂 卡 支持 


支持 使 昨 得 能 二 验证 - 


带 5UI 的 服务 器 
带 有 有 用 于 捍 作 网 络 基 础 设施 服务 GUI 的 最 务 器 


6NOME 桌面 
GNOME 是 一 个 地 党 直观 且 用 户 友好 的 桌面 环境 。 


KDE Plasma Work 
KDE Plasma 一 个 珊 衣 可 配置 本 形 用 户 
界面， 其 中 包括 面板 、 面 、 系 绝 国 标 以 及 梨 面 向 导 和 
很 多 功能 强大 的 KDE 应 用 程序 


开发 及 生成 工作 站 
用 于 软件 、 硬 件 、 本 形 牙 者 内 容 开 改 的 工作 让 


图 2.15 软件 定制 界面 
软件 定制 界面 左 侧 是 系统 预定 义 的 基本 环境 , 按 用 途 不 同 可 以 分 为 基础 设施 服务 器 、 文 件 
及 打印 服务 器 、 基 本 网 页 服务 器 和 虚拟 化 主机 等 。 右 侧 则 为 每 个 基本 环境 中 附加 软件 选项 , 此 
处 可 以 根据 自身 需求 选择 基本 环境 , 需要 注意 的 是 某 些 基本 环境 默认 没有 安装 图 形 界面, 对 于 
初学 者 此 处 可 选择 “GNOME 桌面 "。 选 择 完成 后 单 击 左 上 角 的 “完成 ”按钮 返回 安装 信息 摘 
要 界面 ， 返 回 后 安装 程序 将 重新 计算 软件 依赖 关系 ， 此 过 程 中 软件 部 分 的 选项 将 显示 为 灰色 。 
人 ET68。 条 统 部 分 要 求 用 户 设置 硬盘 分 区 方案 和 网 络 连接 ， 此 时 安装 程序 已 自动 将 硬盘 分 区 
方案 设置 为 自动 分 区 ,但 要 求 用 户 确认 ， 如 图 2.13 所 示 。 单 击 “安装 位 置 ” 进入“ 安 

装 目标 位 置 ”选择 界面 ， 如 图 2.16 所 示 。 


安装 目标 位 置 


二 可 


设备 选择 
选择 您 想 要 安装 的 设备 。 在 您 点 击 “开始 安装 ”按钮 之 前 ， 延 至 的 设备 并 不 会 被 操作 。 
本 地 标准 辜 盘 


10.246B 


VMware, VMware Virtual S 
sda 1 10.24 GB 室 闲 


此 站 未 进 任 的 磁盘 荷 不 会 被爆 作 。， 
特别 的 及 网 络 磁盘 
添加 硬盘 (A)… 
此 处 示 连 至 的 胡 吾 交 不 会 新 桥 作 。 
其 它 存储 选项 
分 区 
会 自动 配置 分 区 (U)。 我 委 也 竺 分 区 (小 
我 急 让 烙 外 室 间 可 用 (M)- 
加 密 
守重 于 人 撞 委 以 及 引导 床 中 .。 已 生 1 个 开 各 ; 容量 1024GB ; 10.24 68 空 亲 


图 2.16 “安装 目标 位 置 ” 界面 
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在 安装 目标 位 置 界面 中 , 首先 需要 用 户 确认 安装 的 磁盘 , 此 处 已 选择 了 一 个 本 地 磁盘 sda， 
容量 为 10.24GB, 空闲 空间 为 10.24GB。 本 地 标准 磁盘 下 面 是 存储 添加 区 域 ， 如 果 需 要 使 用 额 
外 的 存储 ， 可 以 在 设置 网 络 之 后 单 击 “ 添 加 硬盘 ”选项 添加 额外 的 存储 。 最 后 的 “其 他 存储 选 
项 ”中 ， 可 以 选择 手动 分 区 和 系统 是 否 加 密 (通常 不 选择 加 密 选项 )。 选 择 “ 我 要 配置 分 区 ”， 
然后 单 击 左上 角 的 “完成 ”按钮 进入 分 区 界面 ， 如 图 2.17 所 示 。 


了 新 CentOs 7 安装 
您 还 没有 为 CantO5 7 的 安装 创建 任何 挂 载 点 。 您 可 
以 : 


，。 点 这 里 自动 创建 他 们 ( C 


， 通过 点 击 “+ ”按钮 创建 新 挂 载 点 . 
， 或 者 向 下 方 选择 的 已 有 分 区 分 本 新 挂 敦 点 。 
产 挂 瞄 点 特使 用 以 下 分 区 方案 (N) 


2 CentO5 7 安装 创建 挂 载 点 后 ， 您 可 在 这 里 浏览 它们 的 详 纸 信 


已 选举 1 在 佛 设 和 (5) 全 部 量 设 人 RN) 
图 2.17 手动 分 区 界面 
在 “手动 分 区 ”界面 中 可 以 看 到 ， 这 是 一 个 新 的 CentOS 7 安装 ， 分 区 方案 可 以 有 多 种 选 


择 ， 本 例 中 将 选择 标准 分 区 。 然 后 单 击 下 方 的 “+” 添 加 分 区 ， 此 时 将 弹出 添加 分 区 窗口 ， 如 
图 2.18 所 示 。 


添加 新 挂 载 点 
在 下 方 创建 挂 载 点 后 
有 更 多 自 定义 选项 可 用 。 
挂 载 点 (P): | 之 
期 望 容量 (D): 
取消 (C) 添加 挂 载 点 (A) 
图 2.18 分 区 窗口 


添加 分 区 窗口 主要 有 两 项 需要 用 户 设置 , 第 一 项 为 挂 载 点 即 系统 目录 ,第 二 项 为 期 望 容量 ， 
此 处 填 入 分 区 大 小 ， 默 认 单位 为 MB， 但 也 可 以 使 用 如 2GB、100MB 等 形式 。 本 例 将 使 用 最 
基本 的 分 区 方案 , 依次 添加 挂 载 点 为 “/boot” 的 引导 分 区 , 空间 大 小 为 500MB, 挂 载 点 为 “swap” 
的 交换 分 区 ， 大 小 为 2GB， 挂 载 点 为 根 分 区 的 “/”， 期望 容量 不 填 不 填 将 默认 使 用 剩余 所 有 
空间 )。 分 区 完成 后 将 显示 分 区 方案 ， 如 图 2.19 所 示 
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了 新 centos7 安 装 sda3 
/boot 
人 SooMS | Mt 和 sr | 
swap 2 GB | 拓 记 守 县 (D): |7739 cB 
设备 类 型: 标 闪 分 区 站 m9 
文 作 系 经 [5) sis 
广大; 下 多 所 碳 三 莫 提 上 的 -开始 实意 “也 角 之 而 ”， 
全 在 未 到 大 内 巴 估 的 更 到 不 全 和 加 用 
PN 
" Er 
96923 1024 GB 


图 2.19 分 区 方案 
在 分 区 方案 的 右 侧 ,还 可 以 对 分 区 进行 一 些 调整 ,此 处 最 主要 的 调整 是 调整 文件 系统 类 型 。 
在 本 例 中 保持 默认 ， 单 击 左上 角 的 “完成 ”按钮 ， 将 提示 是 否 需 要 将 分 区 方案 保存 到 硬盘 ， 单 
击 “ 接 受 更 改 ” 即 可 保存 并 返回 安装 信息 摘要 界面 。 
GT09 完成 分 区 方案 设置 之 后 ， 接 下 来 需要 设置 网 络 和 主机 名 ， 单 击 “ 网 络 和 主机 名 ” 弹 
出 设置 窗口 ， 如 图 2.20 所 示 。 


网 络 和 主机 名 


p Ethernet (ono16777736) 
于 这 


硬件 地 址 00:Oc:29:9Fsas 
如 县 1000 Mes 
FM 127.00 1 


| 法 配置 (0)， 


图 2.20 网 络 和 主机 名 设置 


从 界面 左 侧 可 以 看 到 ， 安 装 程序 发 现 了 一 张 网 卡 命名 为 eno16777736， 并 且 网 卡 默 认 处 于 
关闭 状态 。 在 界面 左下 侧 安装 程序 已 经 设置 了 一 个 主机 名 ， 用户 可 以 在 此 处 输入 新 的 主机 名 。 

拖 动 界面 右 侧 的 滑 块 将 网 卡 启 用 ， 如 果 使 用 的 网 络 还 需要 设置 IP 地 址 等 信息 ， 可 以 单 击 
“配置 ”按钮 ， 在 弹出 的 窗口 中 选中 “IPv4 设置 ?， 如 图 2.21 所 示 。 
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正在 编辑 sno16777736 
查 接 名 称 IN)- 


直上 以 大 网 | 802 JX 至 全 性 DCB Pv4 讼 置 UPVG 谊 四 


方法 M: [总 动 DHcP) 


附加 DNS 服务 关 : 
附加 氨 索 域 {E): 
DHcP 客户 喘 ID: 
需要 IPv4 地 直 才 成 这 个 连接 
(RI 


可 汽 C】 | 保 条 (5) 
图 2.21 网 卡 设置 


可 以 看 到 系统 默认 使 用 DHCP 的 方式 来 获得 IP 地 址 等 信息 , 如 需 设置 IP 地 址 可 以 在 方法 
中 选择 “手动 ” 然后 在 地 址 中 添加 相应 的 IP 地 址 、 子 网 掩 码 和 网 关 。DNS 服务 器 地 址 应 该 
填写 在 “附加 DNS 服务 器 ”选项 中 ， 如 果 有 多 个 DNS 地 址 则 使 用 逗号 作 分 隔 。 如 果 虚 拟 机 
的 网 络 设置 为 Host-Only 和 NAT， 此 处 应 该 设置 为 通过 DHCP 方式 获得 IP 地 址 等 信息 。 
完成 上 述 设置 后 ， 单 击 “ 保 存 ” 按钮 返回 网 络 和 主机 名 设置 界面 , 再 单 击 左上 角 的 “完成 ” 
按钮 返回 安装 信息 摘要 界面 。 
人 IO 完成 前 面 几 步 的 设置 之 后 ， 请 再 次 确认 每 一 项 设置 是 否 合适 ， 特 别 是 磁盘 分 区 ， 因 
为 到 此 时 为 止 安装 程序 还 没有 修改 磁盘 中 的 数据 。 确 认 没 有 问题 之 后 ， 单 击 右 下 角 
的 “开始 安装 ”， 安 装 程序 会 使 用 之 前 的 设置 开始 系统 的 安装 工作 , 如 图 2.22 所 示 。 


配置 CENTO5 7 安装 
国 o 


用 户 设置 


创建 用 户 (U) 


ROOT 密码 
二 不 会 创建 任何 用 户 


在 Root 曰 码 夫 设 畦 


坟 启 动 砍 件 包 实 过 进程 


图 2.22 开始 安装 


从 图 2.22 中 可 以 看 到 安装 程序 已 经 开始 安装 工作 ,但 还 需要 对 用 户 进行 设置 .其 中 ROOT 
密码 ”选项 将 设置 root 用 户 的 密码 ，root 用 户 通常 也 称 为 根 用 户 ， 在 Linux 系统 中 拥有 至 高 无 
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上 的 


一 个 


权限 (相当 于 Windows 系统 中 的 Administrator 用 户 )， 因 此 如 果 在 生产 环境 中 ,应 当 设置 
强度 较 高 的 密码 。 
由 于 root 用 户 的 权限 太 大 ， 若 用 户 登 录 并 使 用 根 用 户 误 操作 可 能 会 带 来 一 些 不 必要 的 麻 


烦 , 例如 输 错 一 个 字母 删除 系统 中 重要 的 数据 等 。 因 此 系统 强制 要 求 创建 一 个 普通 用 户 , 并 使 


用 普 


角 的 


通用 户 登录 系统 ， 必 要 时 向 root 用 户 “ 申 请 ”权利 。 
单 击 “创建 用 户 ” 选 项 即 可 弹出 创建 用 户 窗 口 ， 填 入 全 名 、 用 户 名 、 密 码 之 后 ， 单 击 左上 
“完成 ”按钮 即 可 返回 安装 界面 。 


如 果 在 生产 环境 中 设置 密码 ， 通 常 需要 注意 两 点 ， 其 一 是 密码 必须 要 有 一 定 的 长 度 ， 通 党 
建议 设置 为 8~16 位 。 其 二 是 密码 要 具备 一 定 的 复杂 性 ， 复 杂 性 通常 用 “四 分 之 三 原则 ”来 
衡量 ， 即 密码 要 包含 构成 密码 的 4 种 字符 〈 大 写字 母 、 小 写字 母 、 数 字 和 字符 ) 中 的 3 种 。 


11 设置 完 密码 之 后 ， 等待 安 装 程序 安装 完成 ( 视 计 算 机 配置 不 同 ， 此 步 可 能 需要 20~40 


分 钟 )， 安 装 结束 时 如 图 2.23 所 示 。 


配置 CENTOS 7 安装 
图 


已 成 功 安 芝 到 你 的 下 机 并 可 以 合用 | 醒 记 然后 使 有 吧 | 
Lj) 


图 2.23 安装 完成 


此 时 只 需要 单 击 “重启 ”按钮 ， 系 统 就 会 将 最 后 的 修改 写 入 硬盘 并 重新 启动 系统 ， 至 此 
CentOS 7 就 已 经 安装 完成 了 。 


2.2.3 U 盘 安 装 CentOS 7 


以 使 


正常 
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由 于 光盘 使 用 不 是 非常 方便 ， 目 前 在 计算 机 中 安装 操作 系统 多 使 用 U 盘 ，CentOS 7 也 可 
昌 U 盘 安 装 。 本 小 节 将 简单 介绍 如 何 使 用 U 盘 安 装 CentOS 7。 

首先 需要 下 载 一 个 名 为 USBWriter 的 软件 , 将 U 盘 插 入 计算 机 的 USB 接口 ， 确 保 系统 能 
识别 U 盘 ， 且 U 盘 足够 大 (建议 容量 8GB)。 然 后 打开 USBWriter， 如 图 2.24 所 示 。 
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遇 usswrier 


用 


Souce ENSOCent0S701406236_641 


2.24 USBWriter 软件 


单 击 Source 后 面 的 “Browse” 按 钮 ， 在 弹出 的 对 话 框 中 选择 CentOS 7 的 光盘 映像 文件 ， 
然后 在 Target 后 面 选择 要 使 用 的 U 盘 。 由 于 写 入 光盘 映像 会 清空 U 盘 中 的 所 有 数据 ， 此 步骤 
请 慎重 。 确 定 使 用 的 U 盘 中 没有 任何 有 用 数据 之 后 ， 单 击 “Write” 按 钮 开始 写 入 映像 文件 。 

待 USBWriter 写 入 完成 , 将 U 盘 插 入 需要 安装 CentOS 7 的 计算 机 上 , 然后 使 用 U 盘 启 动 
安装 。 之 后 的 安装 步骤 与 2.2.1 中 介绍 的 相同 ， 此 处 不 再 著述 。 


民 元 并 不 是 所 有 的 U 盘 都 可 以 写 入 光盘 映像 ， 某 些 U 盘 制 作 启动 盘 时 ， 可 能 会 失败 。 | 


2.2.4 Windows 7+CentOS 7 双 系 统 安装 

由 于 虚拟 机 安装 CentOS 7 时 会 占用 大 量 内 存 ， 对 计算 机 要 求 相 对 较 高 ， 低 配置 的 计算 机 
运行 可 能 会 不 太 流 畅 , 因此 许多 人 将 Windows 和 CentOS 都 安装 到 同一 个 计算 机 中 。 本 小 节 将 
以 Windows 7 为 例 , 介绍 如 何在 一 台 计 算 上 同时 安装 Windows 和 Linux, 此 处 介绍 的 方法 也 适 
合 其 他 版 本 的 Windows 和 Linux。 


(1) 安装 双 系统 应 该 先 安装 Windows， 因 为 Windows 的 引导 装载 程序 无 法 引导 Linux 系 

统 ， 但 Linux 系统 的 引导 程序 Grub 则 可 以 引导 Windows。 因 此 应 该 先 安装 Windows， 然 后 再 
安装 Linux， 在 Linux 的 引导 程序 中 添加 Windows 引导 选项 。 

如 果 计 算 机 中 还 没有 安装 Windows 7， 即 硬盘 中 还 没有 分 区 ， 在 Windows 7 安装 时 需要 为 

CentOS 7 预 留 足够 的 空间 。 这 些 空 间 可 以 不 用 分 区 ， 以 室 闲 空间 的 形式 存在 即 可 如 图 2.25 所 示 。 


2.25 安装 Windows 7 时 预 留 空间 


汉人 
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从 图 中 可 以 看 到 磁盘 0 的 容量 约 为 80GB， 其 中 分 区 1 是 由 Windows 7 安装 程序 自动 分 配 
的 系统 保留 空间 ， 容 量 为 48.7GB 的 分 区 2 作为 Windows 7 的 系统 分 区 ， 即 C 盘 。 分 区 3 是 分 
配给 Windows 7 使 用 的 第 二 个 分 区 ， 大 小 为 19.5GB， 而 最 后 还 有 一 个 未 分 配 空间 ， 容 量 为 
11.6GB， 这 个 未 分 配 空间 就 是 留 给 CentOS 7 的 空间 。 

安装 Windows 7 时 ， 也 可 以 只 添加 系统 盘 ， 待 系统 安装 完成 后 ， 再 使 用 磁盘 管理 器 进行 
分 区 并 预 留 空间 。 由 于 需要 将 Windows 7 安装 在 分 区 2 中 ， 因 此 只 需 选 中 分 区 2 并 单 击 “ 下 
一 步 ” 继 续 安装 即 可 。 


必 寺 | 由 于 本 书 的 重点 并 非 Windows 的 安装 ， 故 此 略 过 Windows 安装 一 节 ，Windows 7 和 其 他 
| 版 本 Windows 的 安装 方法 ， 读 者 可 自行 阅读 相关 文档 或 搜索 相关 视频 了 解 。 


(2) 如 果 计 算 机 中 已 安装 了 Windows 7 且 磁 盘 中 已 没有 未 分 配 的 空闲 空间 ， 则 可 以 使 用 
魔术 分 区 大 师 等 软件 重新 调整 分 区 , 将 分 区 中 的 未 使 用 空间 调整 为 未 分 配 空间 。 如 果 磁 盘 中 还 
有 未 使 用 的 空间 ， 则 可 在 桌面 上 的 “计算 机 ”图 标 上 单 击 右键 ， 在 弹出 的 菜单 中 选择 “管理 ”， 
然后 在 弹出 计算 机 管理 界面 左 侧 依次 选择 “存储 ”和 “磁盘 管理 ” 如 图 2.26 所 示 。 


立 人 上 朋 。 损 (CA 至 否 M) 。 大助 (H) 
如 中 | 二 园 | 目 园 上 四 加 加 


EIPIEEIES 
ad 


基 丰 NTFS。 状态 并 于 (局 也 克 克 文 作 到 
入 二 关 本 NIFS 。 杖 杞 让 行 (其 统 所 动 主 分区 ) 
入 地 其 本 NTFS 。。 检 太 他 ( 主 分 K) 


2.26 计算 机 管理 


如 果 系 统 中 还 有 多 余 没有 分 配 的 空闲 空间 , 此 时 可 以 在 未 分 配 空间 上 单 击 右键 ,添加 分 区 。 
最 后 剩余 一 部 分 空间 作为 CentOS 7 的 预 留 空间 。 如 图 2.26 所 示 ， 已 经 为 CentOS 7 预 留 了 一 
个 10.66GB 的 未 分 配 空间 。 


(3) 完成 上 述 步骤 后 , 重新 启动 系统 , 修改 BIOS 设置 并 使 用 安装 光盘 或 U 盘 启 动 系统 ， 
然后 安装 CentOS 7, 安装 过 程 与 2.2.1 节 中 介绍 的 相同 ,此 处 不 再 袭 述 。 安装 完成 后 登录 系统 ， 
在 桌面 上 单 击 右键 ， 选 择 “ 在 终端 中 打开 ”， 此 时 将 弹出 终端 窗口 。 接 下 来 将 修改 CentOS 7 
引导 装载 程序 的 配置 文件 ， 并 添加 Windows 7 的 引导 选项 。 

在 终端 窗口 中 输入 命令 “su -root”， 然 后 输入 root 用 户 密码 切换 到 root 用 户 ， 需 要 注 
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意 的 是 输入 密码 时 终端 内 不 会 有 任何 显示 ， 输 入 完成 后 按 Enter 键 即 可 。 切 换 成 root 用 户 
后 ， 命 令 提示 符 将 变 为 “[root@localhost ~] #”， 输 入 命令 “gedit /boot/grub2/grub.cfg” 按 
Enter 键 ， 此 命令 表示 使 用 gedit 编辑 器 打开 Grub 的 配置 文件 /boot/grub2/grub.cfg。 待 gedit 
打开 后 ， 依 次 单 击 菜单 中 的 “搜索 ”和 “ 跳 转 到 行 ”， 在 弹出 的 对 话 框 中 输入 70， 此 时 光 
标 将 跳 转 到 第 70 行 。 

如 图 2.27 所 示 ， 在 原 有 的 菜单 条 目 “menuentry” 之 后 加 上 Windows 7 的 引导 选项 。 引 导 
项 中 “Windows 7” 表 示 启 动 时 ，Grub 显示 的 菜单 名 称 , “set root=(hd0,1)” 表 示 Windows 引 
导 的 设备 为 第 0 块 磁盘 的 第 1 个 分 区 (此 处 需要 按 实 际 情况 设置 )， 而 其 后 的 “chainloader +1” 
表示 加 载 Windows 的 引导 程序 。 


grub.cfg (boougrubz) - gedit 

文件 (F) 编辑 (E) 吉 看 (V) 搁 大 (s】 工具 (T) 文档 (D) 

DB" awl Woele = EIQAG 
-一 一 -一 


getg 


torninal_outpur console 
i ut_style = xy | ; then 


put = 

# FaLLback nornal tineaut code in case the timeout style feature is 

# unavatlable 

slse 
sot tinoout=5 


insnod xfs 
set_ranr="hAa msdnss 
纯 文本 v 。。 制 素 罕 宽度 : 8 v 行 70, 列 1 。 福 入 


图 2.27 使 用 gedit 编辑 grub.cfg 


完成 以 上 操作 后 ， 保 存 退 出 并 重启 系统 ， 待 系统 重启 后 可 以 发 现 CentOS 7 的 引导 菜单 中 
多 了 Windows 7 的 引导 选项 ， 如 图 2.28 所 示 。 


a command prompt 


图 2.28 ”CentOS 7 引导 菜单 


从 图 2.28 中 可 以 看 出 ， 引 导 菜 单 中 已 有 Windows 7 选项 ， 此 时 只 需要 使 用 向 上 方向 键 选 
中 该 选项 并 按 Enter 键 即 可 引导 进入 Windows 7。 
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2.2.5 网络 安 装 

网 络 安装 分 为 两 种 模式 ， 一 种 是 使 用 NetInstall 版 (网 络 安装 版 )， 使 用 这 个 版 本 安装 需要 
通过 网 络 下 载 安装 所 需 的 软件 包 ; 另 一 种 方式 是 使 用 PXE 网 络 启 动 的 方式 安装 ， 这 种 方式 适 
用 于 大 规模 自动 化 安装 ， 例 如 一 次 性 安装 100 台 计 算 机 ， 并 且 这 些 计 算 机 的 分 区 方案 都 相同 。 
由 于 PXE 网 络 启动 安装 方式 比较 复杂 且 实用 性 不 太 多 ， 此 处 不 作 介绍 ， 读 者 可 自行 阅读 相关 
文档 了 解 ， 本 小 节 将 介绍 如 何 使 用 网 络 安装 版 的 使 用 方法 。 

网 络 安装 通常 适用 于 不 能 使 用 DVD 和 U 盘 的 环境 , 读者 仍 可 以 使 用 虚拟 机 模拟 安装 。 首 
先 需 要 下 载 NetInstall 版 的 光盘 映像 文件 ， 接 下 来 需要 让 虚拟 机 能 正常 访问 网 络 ， 这 时 网 络 连 
接 方式 一 般 选 择 桥接 或 NAT， 视 宿主 机 网 络 环境 而 定 。 接 下 来 使 用 NetInstall 版 光盘 映像 启动 
虚拟 机 ， 之 后 的 操作 与 2.2.1 中 介绍 的 相同 ， 直 到 进入 安装 信息 摘要 界面 。 

在 NetInstall 版 的 安装 信息 摘要 界面 中 ， 会 要 求 用 户 设置 安装 源 。 首 先 需要 设置 网 络 ， 可 
以 单 击 “ 网 络 和 主机 名 ”进行 设置 ， 请 参考 2.2.1 节 中 的 介绍 ， 此 处 不 再 资 述 。 完 成 网 络 设置 
后 ， 单 击 “ 安 装 源 ” 进 行 设置 ， 如 图 2.29 所 示 。 


你 要 使 用 哪个 安装 源 了 
全 在 网 络 上 (N): 


hetpl | mirrors, 代理 服务 器 设置 fP) 


可 外 软件 仓库 
已 启用 “名称 


图 2.29 安装 源 设置 
如 图 2.29 所 示 在 安装 源 中 输入 地 址 即 可 ， 此 处 使 用 的 是 网 易 的 安装 源 ， 读 者 也 可 以 从 
CentOS 官网 上 查询 并 使 用 其 他 安装 源 。 设置 完 安装 源 之 后 , 其 他 设置 和 安装 方法 与 2.2.1 小 节 
中 介绍 的 相同 ， 此 处 不 再 歼 述 。 


也 可 以 通过 解压 DVD 安装 光盘 映像 的 方式 自 建 安装 源 , 但 由 于 光盘 文件 名 长 度 限 制 ， 光 
[ 盘 中 解压 出 的 目录 repodata 和 Packages 中 有 许多 文件 名 有 误 ， 需 要 修正 才能 使 用 。 


[Ws 
或 


2 。< 3 Linux 的 登录 


CentOS 安装 完 之 后 ， 需 要 第 一 次 配置 并 登录 使 用 ，Linux 系统 的 登录 方式 有 多 种 ， 本 节 
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主要 介绍 Linux 的 常见 登录 方式 ， 如 本 地 登录 或 通过 相关 软件 远程 连接 等 。 


2.3.1 首次 配置 与 本 地 登录 

在 前 面 的 章节 中 ， 主 要 介绍 了 如 何 使 用 不 同 的 方法 安装 CentOS 7， 本 小 节 将 简要 介绍 
CentOS 7 的 首次 配置 和 本 地 登录 等 内 容 。 

(1)CentOS 7 安装 完成 后 重启 即 可 使 用 , 首次 进入 时 还 需要 做 一 些 简 单 的 配置 , 如 图 2.30 
所 示 。 


许可 信息 KL) 
志和 本 


2.30 初始 设置 


首次 进入 系统 会 要 求 用 户 确认 许可 信息 ， 单 击 “ 许 可 信息 ” 接受 CentOS 的 许可 证 进入 
下 一 步 设置 。 接 下 来 会 要 求 用 户 确认 是 否 启用 Kdump， 如 图 2.31 所 示 。 


dum 


图 2.31 设置 Kdump 


Kdump 主要 用 来 调试 系统 内 核 和 相关 软件 ， 对 用 户 和 生产 环境 几乎 没有 任何 帮助 ， 启 用 
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与 否 均 无 太 大 影响 。 设 置 完 Kdump 单 击 “ 前 进 ” 按 钮 , 即 可 完成 设置 进入 登录 界面 如 图 2.32 


图 2.32 登录 窗口 
在 登录 界面 的 右上 角 可 以 做 一 些 辅 助 设置 , 例如 语言 设置 、 声 音 和 开关 机 等 。 此 时 单 击 屏 
幕 中 间 的 用 户 名 后 在 弹出 的 窗口 中 输入 密码 ， 然 后 单 击 “ 登 录 ” 按 钮 ， 如 果 用 户 名 、 密 码 校 验 
通过 则 可 顺利 登录 Linux 系统 。 
(2) 首次 进入 桌面 环境 ，CentOS 会 弹出 窗口 要 求 用 户 进行 一 些 使 用 习惯 上 的 配置 ， 如 图 
2.33 所 示 。 


欢迎 


Deutsch (Deurschtand) 
Engush (United kingdom) 
English (United States 


Espafiol (Espafia) 


前 进 [N) 
图 2.33 首次 设置 


从 图 中 可 以 看 到 , 系统 会 首先 要 求 用 户 设置 系统 默认 语言 , 接 下 来 还 会 提示 用 户 设 置 输入 
源 〈 即 输入 法 )、 云 账号 等 内 容 ， 这 些 内 容 可 按 实 际 情况 设置 ， 此 处 不 做 次 述 。 


(3) 如 想 切 换 到 命令 模式 ， 可 进入 系统 后 在 桌面 单 击 右键 选择 “在 终端 中 打开 ”然后 在 
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其 中 输入 “init3”， 即 可 完成 运行 级 别 的 转变 。Linux 运行 级 别 如 表 2.1 所 示 。 
表 2.1 Linux 运行 级 别 


| 单 用 户 模式 
| 多 用 户 


| 完全 多 用 户 模式 ， 服 务 器 一 般 运行 在 此 级 别 
| 一 般 不 用 ， 在 一 些 特殊 情况 下 使 用 
X11 模式 ， 一 般 发 行 版 黑 认 的 运行 级 别 ， 可 以 启动 图 形 桌 面 系统 


2.3.2 ”远程 登录 

远程 登录 是 Linux 系统 中 最 常见 的 一 种 登录 方式 , 多 为 运 维 工程 师 所 用 , 远程 登录 可 以 使 
用 VNC 图 形 界面 、ssh 等 方法 。 其 中 以 使 用 ssh 登录 为 多 ， 其 原因 是 运 维 工程 师 管理 和 维护 的 
系统 通常 没有 图 形 界面 ， 且 ssh 使 用 的 加 密 方案 比较 安全 。 本 小 节 以 ssh 登录 为 例 简 要 介绍 如 
何 远 程 登录 。 

(1) 如 果 需 要 在 虚拟 机 中 使 用 远程 登录 ， 首 先 网 络 必须 互通 ， 如 果 虚 拟 机 已 使 用 了 

Host-Only 模式 〈 仅 主机 模式 ) 或 桥接 模式 ， 则 可 以 直接 在 宿主 机 登录 。 

本 例 中 将 采用 仅 主 机 模式 演示 登录 过 程 ， 首 先 我 们 需要 先 查 看 Host-Only 模式 使 用 的 IP 
地 址 段 。 以 Windows 7 为 例 ， 在 开始 菜单 中 单 击 “ 控 制 面板 ”然后 在 控制 面板 中 找到 并 单 击 
“网 络 和 Internet” 下 面 的 “查看 网 络 状态 和 任务 ”。 此 时 将 进入 “网 络 和 共享 中 心 ”” 在 其 界 
面 的 左 侧 单 击 “ 更 改 适 配器 设置 ”, 此 时 将 进入 “网 络 连接 ”界面 ,找到 “VMware Network Adapter 
VMnet8” 并 右 击 ， 在 弹出 的 菜单 中 选择 “状态 ”然后 在 状态 对 话 框 中 单 击 “ 详 细 信 息 ”， 出 
现 如 图 2.34 所 示 的 界面 。 


OOFEE 1 
0 0-0 -fFFE: 2801 
0 0- EEFE: -3 


ESD 


图 234 网 络 连接 的 详细 信息 
如 图 2.34 所 示 查 看 其 IP 地 址 ， 只 有 虚拟 机 Host-Only 网 卡 的 IP 地 址 与 此 IP 地 址 在 同一 
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网 段 方 可 进行 远程 登录 。 
(2) 在 虚拟 机 中 查看 IP 地 址 可 以 使 用 “ifconfig” 命 令 ， 如 图 2.35 所 示 。 


user@localhost:~/ 桌 面 Wn | Xx 


文件 (F) 编辑 (E) 查看 (V) 搜索 (5) 终端 (T) 帮助 (H) 
[user@localhost 江面 ifconfi ig 
leno16777736:_ fla SUP. BROADCAST, RUNNING, MULTICAST> mtu 1500 

netmask 255.255.255.0 broadcast 192.168.146.255 
: : fe0b:776 prefixlen 64 scopeid 0x20<ink> 

ether 00: 0c :07:76 txqueueten 1000 (Ethernet) 

RX packets 11251 bytes 13916342 (13.2 MiB) 

RX errors 0 dropped 0 overruns 0 frame 0 

TX packets 2039 bytes 138205 (134.9 KiB) 

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


图 2.35 查看 卫 地 址 


可 以 看 到 网 卡 en016777736 的 IP 地 址 与 Windows 中 的 IP 地 址 属于 同一 网 段 ， 因 此 可 以 
使 用 远程 连接 。 如 果 使 用 以 上 命令 没有 查看 到 此 IP 地 址 ， 就 需要 重启 网 络 连接 或 对 网 络 连接 
进行 配置 。 
(3) 由 于 CentOS 7 默认 开启 ssh， 因 此 可 直接 通过 PuTTY 等 工具 连接 ， 如 图 2.36 所 示 。 
虽 wrvcnioi 人 


[SSesson Basc oplions for your PUTTY sesson 
a Specfy the cestination you wrt to cennect to 
E Hg Name br IP adiress) Eot 
et 192168.145-128 Z 
Features Connection ype: 
EB- Window Eaw Tehet © Regn @ SSH Serd 
B Load save cr delete a sored session 
Traraabon Saved Sessons 
Selection 
3 = 
Comecion es 区 = 到 
En Saye 
Proy Ee 
Toa Losee ] 
Rogn 
且 SSH 
un ose wndow on eat 


En 
图 2.36 PuTTY 


在 PuTTY 中 填 入 CentOS 7 的 IP 地址， 并 选择 “SSH”， 单 击 “Open”， 输 入 用 户 名 和 密 
码 即 可 远程 登录 到 Linux 系统 中 。 


2 .A 从 centos 6.5 升 级 到 Centos 7 


对 于 一 些 已 安装 CentOS 旧版 本 的 计算 机 来 说 ,通常 更 希望 能 从 旧版 本 直接 升级 到 CentOS 
7， 因 为 这 样 能 够 避免 数据 迁移 的 问题 。 由 于 CentOS 7 与 之 前 的 版 本 差异 较 大 (事实 上 每 一 个 
新 版 本 与 老 版 本 差异 都 较 大 )， 不 一 定 能 百分之百 成 功 。 本 节 将 简要 介绍 如 何 从 CentOS 6.5 升 
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级 到 CentOS 7。 


2.4.1 升级 风险 

在 个 人 使 用 的 计算 机 或 虚拟 机 中 升级 CentOS 即使 失败 ， 可 能 也 未 必 会 有 多 大 损失 ， 但 拥 
有 宝贵 数据 的 生产 环境 则 不 同 。 此 处 仅 讨论 生产 环境 中 升级 可 能 带 来 的 影响 , 其 主要 可 归结 为 
以 下 几 点 : 

(1) 系统 升级 后 ， 系 统 中 的 软件 也 会 同时 升级 。 这 些 软件 可 能 会 因为 兼容 性 等 原因 与 之 
前 版 本 的 数据 、 配 置 文件 等 产生 冲突 ， 导 致 不 可 用 或 部 分 功能 丧失 。 

(2) 由 于 CentOS 7 属于 较 新 的 系统 ， 其 稳定 性 、 性 能 尚 不 稳定 ， 可 能 会 危及 业务 系统 的 
可 用 性 。 

(3) 新 系统 使 用 时 间 尚 短 ， 可 能 会 有 许多 没有 被 发 现 的 Bug， 这 也 是 为 何 运 维 工程 师 通 
常会 采用 较 低 版 本 的 原因 。 

从 之 前 红帽子 的 更 新 习惯 来 看 ， 新 版 本 通常 有 非常 巨大 的 改动 ， 也 必然 存在 较 多 Bug 且 
系统 也 尚未 得 到 时 间 的 考验 ， 因 此 生产 环境 更 新 可 稍 作 等 待 。 待 更 新 两 三 次 ， 系 统 中 大 部 分 
Bug 被 发 现 、 修 复 ， 且 性 能 趋 于 稳定 时 再 更 新 。 


2.4.2 ”使 用 升级 工具 

与 之 前 的 版 本 不 同 ， 新 版 本 的 CentOS 提供 了 一 个 升级 工具 preupg， 用 户 可 以 使 用 此 工具 
将 CentOS 6.5 升级 到 7。 但 这 个 工具 并 没有 得 到 非常 严格 的 测试 , 因此 生产 环境 中 不 建议 使 用 
本 小 节 中 介绍 的 升级 工具 。 


(1) 由 于 升级 工具 并 没有 包含 在 CentOS 6.5 的 软件 源 中 ， 因 此 需要 添加 新 的 软件 源 才 能 
使 用 。 使 用 vim 在 目录 /etc/yum.repos.d 中 建立 一 个 名 为 upgrade.repo 的 文件 ， 内 容 如 下 : 


完成 上 述 设置 后 ， 请 确保 计算 机 能 正常 连接 网 络 ， 然 后 执行 以 下 命令 安装 更 新 工具 : 


上 面 这 条 命令 将 安装 包括 测试 工具 在 内 的 升级 工具 。 
(2) 在 正式 开始 升级 之 前 ， 建 议 使 用 测试 工具 进行 测试 : 
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需要 注意 的 是 ，preupg 工具 仅 作 一 些 常规 测试 ， 其 结果 仅 能 做 参考 。 
(3) 接 下 来 就 可 以 导入 CentOS 7 的 key 并 开始 更 新 了 : 


先 使 用 rpm 导入 Key， 然 后 使 用 redhat-upgrade-tool-cli 工具 下 载 更 新 中 需要 使 用 的 软件 
包 。 从 以 上 执行 结果 可 以 看 出 共计 下 载 了 1468 个 软件 包 〈 视 系统 中 安装 的 软件 不 同 ， 需 要 的 
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软件 包 也 不 同 )， 由 于 此 步 需要 从 国外 服务 器 中 下 载 软件 包 ， 因 此 可 能 需要 花费 大 量 时 间 。 
(4) 完 成 上 述 步骤 之 后 , 重新 启动 系统 时 系统 就 会 自动 更 新 至 CentOS 7 如 图 2.37 所 示 。 


图 2.37 升级 到 CentOS 7 
从 图 中 可 以 看 到 ， 系统 已 经 开始 更 新 系统 中 的 软件 ， 视 计 算 机 配置 不 同 这 个 | 
10~20 分 钟 。 在 升级 过 程 中 可 能 还 会 出 现 一 些 错误 及 部 分 软件 升级 失败 的 情况 , 通常 系统 会 
动 处 理 这 些 情况 ， 以 保证 升级 过 本 顺利 完成 。 


小 白 安装 过 程 中 的 问题 


本 节 主 要 介绍 初学 者 在 安装 Linux 过 程 中 的 一 些 常见 问题 ， 如 Windows 系统 是 否 能 够 和 
Linux 系统 并 存 ， 如 何 安装 多 个 Linux 发 行 版 等 。 


2.5.1 Linux 分 区 会 覆盖 原 有 Windows 系统 吗 

如 在 已 安装 Window 系统 的 计算 机 中 安装 Linux 和 Windows 双 系 统 引导 , 安装 完 Windows 
后 ， 需 要 在 硬盘 上 预 留 一 定 的 空间 安装 Linux， 安 装 过程 中 Linux 的 安装 程序 会 检测 已 有 的 
Windows 分 区 ， 安 装 后 的 Linux 和 Windows 分 别 使 用 了 硬盘 中 不 同 分 区 ， 安 装 的 Linux 系统 
并 不 会 覆盖 已 安装 的 Windows 系统 。 
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2.5.2 ”如 何 安装 多 个 Linux 发 行 版 

(1) 采用 虚拟 机 安装 的 方式 可 以 安装 多 个 Linux 系统 。 可 以 创建 多 个 虚拟 机 ， 虚 拟 机 创 
建 完 毕 后 采用 2.2.2 节 介绍 的 安装 方法 安装 Linux 系统 。 

(2) 在 同一 PC 上 安装 多 个 Linux 操作 系统 ， 首 先 要 为 安装 的 每 个 Linux 系统 预 留 硬盘 
空间 ， 并 且 在 每 个 Linux 的 安装 过 程 中 采用 手动 分 区 模式 做 好 分 区 设置 。 如 图 2.38 所 示 ， 单 
击 “ 创 建 自 定义 布局 ”， 然 后 依次 创建 Linux 所 需 的 根 分 区 和 Swap 分区， 如 有 需要 ， 可 以 创 
建 其 他 挂 载 点 , 分 区 设置 如 图 2.39 所 示 ， 图 中 剩余 的 空间 可 以 预 留 给 其 他 要 安装 的 操作 系统 ， 
分 区 创建 完毕 即 可 进行 Linux 的 安装 。 
TS | 


您 要 进行 哪 种 类 型 的 安装 ? 


使 用 所 有 空间 
删除 所 选 设备 中 的 所 有 分 区 。 其 中 包 售 其 它 操作 系 久 创建 的 分 区 


提示 ; 这 人 法 项 得 山 陈 所 千 设 备 中 的 所 有 数据 。 确 定 全 进行 了 备份 , 


替换 现 有 Linux 系统 
只 出 除 Linux 分 区 (由 之 前 的 Unux 安装 创建 的 ) 。 这 樟 训 不 会 山 除 他 存 鱼 设备 中 的 其 它 分 区 (比如 VFAT 或 者 


a 


提示 : 这 人 法 项 相 陋 除 仑 所 选 设备 中 的 所 有 数据 。 硝 定 您 进行 7 备份- 


a 编 小 现 有 采 统 
|. Sd 


“使 用 利 余 中 
md 保留 你 的 现 有 数据 和 分 区 且 只 使 用 所 先 设 备 中 的 未 分 区 空间 ， 个 设 您 有 足够 的 空间 可 用 


a 创建 自 定义 布局 
使 用 分 区 工具 手动 在 所 造 设备 中 创 娃 自 定义 布局 。 


口 加 密 系统 (E) | 
网 查看 并 修改 分 区 布局 (Y) 


和 和 过 回 (B) | 哆 下 - 步 (N) 


图 2.38 Linux 分 区 选择 方式 


大 小 挂 载 点 / 
(MB) RAID/ 着 


设 着 


硬盘 驱动 器 

一 sda 
sdal 4000 / 
sda2 1000 
畦 用 15479 


2.39 ”Linux 分 区 参考 值 


2.5.3 ”如 何 删 除 双 系统 中 的 Linux 

如 果 系 统 中 只 安装 有 Linux， 可 以 采用 分 区 管理 工具 (如 PartitionMagic) 把 Linux 的 分 区 
全 部 删除 。 也 可 以 利用 Windows 的 引导 光盘 进入 纯 DOS 或 Win PE 模式 ， 然 后 进入 命令 提示 
窗口 ， 执 行 “fdisk /mbr” 清 除 分 区 信息 。 
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如 果 计 算 机 中 Windows 和 Linux 并 存 ， 可 直接 进入 Windows 系统 操作 ， 删 除 步骤 如 下 : 
人 1) 在 桌面 上 右 击 【我 的 电脑 】 图 标 ， 在 弹出 的 菜单 中 选择 “管理 ”命令 ， 进 入 计算 机 
管理 界面 。 
人 62 单 去 【磁盘 管理 ] 菜单 ， 如 图 2.40 所 示 ， 如 有 Linux 分 区 ， 选 择 分 区 后 删除 即 可 。 


图 2.40 ”Windows 磁盘 管理 
如 果 是 使 用 虚拟 机 安装 的 Linux， 删 除 步骤 如 下 : 


人 iD) 启动 VMware， 单 击 安装 的 虚拟 机 。 
人 2 单 去 菜单 【VM ] 一 [ Manager ] 一 【 Delete from Disk ] 进行 虚拟 机 的 删除 ， 如 图 2.41 
所 示 。 


241 使 用 VM 菜单 
以 上 两 步 完 成 后 虚拟 机 中 安装 的 Linux 即 删除 完毕 。 


2.5.4 ”主机 连 不 上 虚拟 机 安装 的 Linux 系统 
使 用 虚拟 机 安装 完 Linux 系统 后 ， 如 果 采 用 SecureCRT 不 能 登录 安装 的 Linux， 可 以 从 以 
下 几 个 方面 排查 。 


(1) 检查 安装 的 Linux 服务 器 sshd 服务 是 否 启动 ， 如 下 所 示 : 


33 


(2) 选择 合适 的 虚拟 机 网 络 连接 方式 
经 过 上 面 代码 中 的 3 步 ， 确 认 服务 器 sshd 服务 正常 ， 服 务 器 防火 墙 没有 开启 ， 如 果 还 是 


不 能 连接 ， 可 检查 虚拟 机 网 络 配置 ， 单 击 桌面 上 的 虚拟 机 图 标 ， 单 击 【VM]】 一 【Setting】 菜 
单 ， 结 果 如 图 2.42 所 示 。 
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图 2.42 虚拟 机 网 络 配 置 


虚拟 机 与 宿主 主机 通信 有 3 种 方式 ， 分 别 为 : 


@ Bridged 模式 : 在 桥接 模式 下 ，VMware 虚拟 出 来 的 操作 系统 就 类 似 局 域 网 中 的 一 独 
立 主机 ， 可 以 访问 网 络 内 任何 一 台 机 器 。 如 选择 此 种 模式 ， 需 要 手工 为 虚拟 系统 配置 
IP 地 址 、 子 网 掩 码 ， 并 且 和 宿主 机 器 处 于 同一 网 段 ， 这 样 虚 拟 系统 才能 和 宿主 机 器 
进行 通信 。 此 时 需要 设置 Linux 和 宿主 主机 同 网 段 了 即 可 。 

@ NAT 网 络 地 址 转换 模式 : 使 用 NAT 模式 使 虚拟 系统 借助 NAT 功能 ， 通 过 宿主 机 器 
所 在 的 网 络 来 访问 互联 网 此 时 Linux 的 卫 地址 和 VMnet8 虚拟 网 络 处 于 同一 网 段 。 

@ ”Host-only 主机 模式 : 在 Host-only 模式 中 ， 所 有 的 虚拟 系统 可 以 相互 通信 ， 但 虚拟 系 
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统 和 真实 的 网 络 是 被 隔离 开 的 。 虚拟 系统 的 TCP/IP 配置 信息 ( 如 IP 地 址 、 网 关 地 址 、 
DNS 服务 器 等 ) 由 VMnet1(Host-only) 虚 拟 网 络 的 DHCP 服务 器 来 动态 分 配 。 


化 .GO Linux 的 目录 结构 


Linux 与 Windows 最 大 的 不 同 之 处 在 于 Linux 目录 结构 的 设计 ,在 开始 后 面 的 内 容 前 , 我 
们 先 来 介绍 Linux 典型 的 目录 结构 。 

登录 Windows 以 后 , 打开 C 盘 , 会 发 现 一 些 常见 的 文件 夹 , 而 登录 Linux 以 后 , 执行 -1 
/会 发 现在 “/” 下 包含 很 多 的 目录 ， 比 如 etc、usr、var、bin 等 目录 ， 进 入 其 中 一 个 目录 后 , 看 
到 的 还 是 很 多 文件 和 目录 。Linux 的 目录 类 似 树 形 结构 ， 如 图 2.43 所 示 。 


图 2.43 ”Linux 目录 结构 


认识 Linux 的 目录 结构 首先 必须 认识 Linux 目录 结构 的 最 顶端 “/”， 任 何 目录 、 文 件 和 设 
备 等 都 在 “/” 之 下 。Linux 的 文件 路 径 与 Windows 不 同 , Linux 的 文件 路 径 类 似 “/data/myfile.txt”， 
没有 Windows 中 盘 符 的 概念 。 初 学 者 开始 对 Linux 的 目录 结构 可 能 不 是 很 习惯 ， 可 以 把 “/” 
当 作 Windows 的 盘 符 (如 C 盘 )。 表 2.2 对 Linux 中 主要 的 目录 进行 说 明 。 


表 2.2 Linux 常见 目录 说 明 


根 目录 。 文 件 的 最 顶端 ，/etec、/bin、/dev、/lib、/sbin 应 该 和 根 目录 放置 在 一 个 分 区 中 ， 而 
类 似 /usrlocal 可 以 单独 位 于 另 一 个 分 区 

/bin 存放 系统 所 需要 的 重要 命令 ， 比 如 文件 或 目录 操作 的 命令 ls、cp、mkdir 等 。 另 外 /usrbin 也 
存放 了 一 些 系统 命令 , 这 些 命令 对 应 的 文件 都 是 可 执行 的 ， 普 通用 户 可 以 使 用 大 部 分 的 命令 
/boot 这 是 存放 Linux 启动 时 内 核 及 引导 系统 程序 所 需要 的 核心 文件 ， 内 核 文 件 和 grub 系统 引导 
管理 器 都 位 于 此 目录 
存放 Linux 系统 下 的 设备 文件 ， 如 光驱 、 磁 盘 等 。 访 问 该 目录 下 某 个 文件 相当 于 访问 某 个 硬 
件 设备 ， 常 用 的 是 挂 载 光 驱 
/etc 一 般 存 放 系统 的 配置 文件 ， 作 为 一 些 软件 启动 时 默认 配置 文件 读 取 的 目录 ， 如 /etc/fstab 存放 
系统 分 区 信息 
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( 续 表 ) 
参数 说 明 
/home 系统 默认 的 用 户主 目录 。 如 果 添 加 用 户 时 不 指定 用 户 的 主 目录 ， 默 认 在 /home 下 创建 与 用 户 
名 同名 的 文件 来。 代码 中 可 以 用 HOME 环境 变量 表示 当前 用 户 的 主 目录 
/ib 64 位 系统 有 /lib64 文件 来， 主要 存放 动态 链接 库 。 类 似 的 目录 有 /usr/lib、/usr/local/lib 等 
/losttfoun ”| 存放 一 些 当 系统 意外 崩溃 或 机 器 意外 关机 时 产生 的 文件 碎片 
d 
/mnt 用 于 存放 挂 载 储 存 设备 的 挂 载 目录 ， 如 光驱 等 
hproc 存放 操作 系统 运行 时 的 运行 信息 ， 如 进程 信息 、 内 核 信息 、 网 络 信息 等 。 此 目录 的 内 容 存在 
于 内 存 中 ， 实 际 不 占用 磁盘 空间 。 如 /etc/cpuinfo 存放 CPU 的 相关 信息 
/root Linux 超级 权限 用 户 root 的 主 目录 
/sbin 存放 一 些 系统 管理 的 命令 ， 一 般 只 能 由 超级 权限 用 户 root 执行 。 大 多 数 命令 普通 用 户 一 般 


无 权限 执行 ， 类 似 /sbin/ifconfig， 普 通用 户 使 用 绝对 路 径 也 可 执行 ， 用 于 查看 当前 系统 的 网 
络 配置 。 类 似 的 目录 有 /usr/sbin;/usr/local/sbin 


/tmp 临时 文件 目录 ， 任 何人 都 可 以 访问 。 系 统 软件 或 用 户 运行 程序 (如 MySQL) 时 产生 的 临时 
文件 存放 到 这 里 。 此 目录 数据 需要 定期 清除 。 重 要 数据 不 可 放置 在 此 目录 下 ， 此 目录 空间 不 
宜 过 小 

/usr: 应 用 程序 存放 目录 , 如 命令 、 帮 助 文件 等 。 安装 Linux 软件 包 时 默认 安装 到 /usr/local 目录 下 。 


比如 /usr/share/fonts 存放 系统 字体 ，/usr/share/man 存放 帮助 文档 ，/usrinclude 存放 软件 的 头 
文件 等 。/ust/local 目录 建议 单独 分 区 并 设置 较 大 的 磁盘 空间 

/var 这 个 目录 的 内 容 是 经 常 变动 的 ，/var/log 用 于 存放 系统 日 志 ，/var/lib 存放 系统 库 文件 等 

/sys 目录 与 /proc 类 似 ， 是 一 个 虚拟 的 文件 系统 ， 主 要 记录 与 系统 核心 相关 的 信息 ， 如 系统 当前 
已 经 载 入 的 模块 信息 等 。 这 个 目录 实际 不 占 硬盘 容量 


| 各 个 发 行 版 是 由 不 同 的 公司 开发 ， 所 以 各 个 发 行 版 之 间 的 目录 可 能 会 有 所 不 同 。Linux 各 
| 发 行 版 本 之 间 目 录 的 差距 比较 小 ， 不 同 的 地 方 主要 是 提供 的 图 形 界面 及 操作 习惯 等 。 


2.7 4 千 


与 之 前 的 版 本 相 比 ，CentOS 7 的 系统 结构 和 安装 过 程 有 较 大 改变 。 本 章 主要 介绍 了 与 
CentOS 安装 相关 的 知识 ， 如 分 区 、LVM、 虚 拟 机 的 使 用 等 。 还 介绍 了 几 种 常见 的 安装 方法 ， 
如 光盘 安装 、U 盘 安 装 、 升 级 CentOS 等 内 容 。 


36 


第 3 章 
< 运 维 必 备 的 网 络 管理 技能 > 


Linux 系统 在 服务 器 市 场 占有 很 大 的 份额 ， 尤 其 在 互联 网 时 代 ， 要 使 用 计算 机 就 离 不 开 网 
络 。 本 章 将 讲解 Linux 系统 的 网 络 配置 。 在 开始 配置 网 络 之 前 , 需要 了 解 一 些 基 本 的 网 络 原理 。 

对 于 提供 互联 网 应 用 的 服务 器 , 网 络 防火 墙 是 其 抵御 攻击 破坏 的 安全 屏障 , 如 何在 攻击 时 
及 时 做 出 有 效 的 措施 是 网 络 应 用 时 时 刻 刻 面 对 的 问题 。 高 昂 的 硬件 防火 墙 是 一 般 开 发 者 难以 接 
受 的 。Linux 系统 的 出 现 ， 为 开发 者 低 成 本 解决 安全 问题 提供 了 一 种 可 行 的 方案 。 要 熟练 应 用 
Linux 防火 墙 ， 首 先 需 要 了 解 TCP/IP 网 络 的 基本 原理 ， 理 解 Linux 防火 墙 的 工作 原理 ， 并 熟 
练 掌握 Linux 系统 下 提供 的 各 种 工具 。 

如 果 管 理 的 计算 机 有 几 十 台 ， 初 始 化 服务 器 配置 IP 地 址 、 网 关 和 子 网 掩 码 等 参数 是 个 烦 
琐 耗 时 的 过 程 。 如 果 网 络 结构 要 更 改 ， 需 要 重新 初始 化 网 络 参 数 ， 使 用 动态 主机 配置 协议 

(Dynamic Host Configuration Protocol，DHCP) 则 可 以 避免 此 问题 ， 客 户 端 可 以 从 DHCP 服 

务 端 检索 相关 信息 并 完成 相关 网 络 配置 ， 在 系统 重启 后 依然 可 以 工作 。 尤 其 在 移动 办 公 和 领域 ， 
只 要 区 域内 有 一 台 DHCP 服务 器 ， 用 户 就 可 以 在 办 公 室 之 间 自 由 活动 而 不 必 担 心 网 络 参数 配 
置 的 问题 。DHCP 提供 一 种 动态 指定 IP 地 址 和 相关 网 络 配置 参数 的 机 制 。 

如 今 互联 网 应 用 越 来 越 丰富 , 如 仅仅 用 IP 地 址 标识 网 络 上 的 计算 机 是 不 可 能 完成 任务 的 ， 
也 没有 必要 ， 于 是 产生 了 域名 系统 。 域 名 系统 通过 一 系列 有 意义 的 名 称 标识 网 络 上 的 计算 机 ， 
用 户 按 域名 请 求 某 个 网 络 服 务 时 ， 域 名 系统 负责 将 其 解析 为 对 应 的 IP 地 址 ， 这 便 是 DNS。 

本 章 主要 涉及 的 知识 点 有 : 

@ ”网 络 管理 协议 

@ 常用 的 网 络 管理 命令 

@ Linux 的 网 络 配置 方法 


网 络 管理 协议 介绍 


要 了 解 Linux 的 配置 , 首先 需要 了 解 相关 的 网 络 管理 ,本 节 主 要 介绍 和 网 络 配置 密切 相关 
的 TCP/IP 协议 、UDP 协议 和 ICMP 协议 。 
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3.1.1 TCP/IP 概述 

计算 机 网 络 是 由 地 理 上 分 散 的 、 具 有 独立 功能 的 多 台 计 算 机 , 通过 通信 设备 和 线路 互相 连 
接 起 来 , 在 配 有 相应 的 网 络 软件 的 情况 下 ， 实 现 计 算 机 之 间 通 信和 资源 共享 的 系统 。 计 算 机 网 
络 按 其 所 跨越 的 地 理 范 围 可 分 为 局 域 网 (Local Area Network，LAN) 和 广域网 (Wide Area 
Network，WAN)。 在 整个 计算 机 网 络 通信 中 ， 使 用 最 为 广泛 的 通信 协议 便 是 TCP/PP 协议 ， 为 
网 络 互联 事实 上 的 标准 协议 ， 每 个 接 入 互联 网 的 计算 机 如 果 进 行 信息 传输 必然 使 用 该 协议 。 
TCP/IP 协议 主要 包含 传输 控制 协议 〈Transmission Control Protocol， 简 称 TCP) 和 网 际 协议 
(Internet Protocol， 简 称 IP)。 


1. OSI 参考 模型 


计算 机 网 络 是 为 了 实现 计算 机 之 间 的 通信 , 任何 双方 要 成 功 地 进行 通信 , 必须 遵守 一 定 的 
信息 交换 规则 和 约定 , 在 所 有 的 网 络 中 , 每 一 层 的 目的 都 是 向 上 一 层 提供 一 定 的 服务 ， 同 时 利 
用 下 一 层 所 提供 的 功能 。TCP/IP 协议 体系 在 和 OSI 协议 体系 的 竞争 中 取得 了 决定 性 的 胜利 ， 
得 到 了 广泛 的 认可 ， 成 为 事实 上 的 网 络 协议 体系 标准 。Linux 系统 也 是 采用 TCP/IP 体系 结构 
进行 网 络 通信 。TCP/IP 协议 体系 和 OSI 参考 模型 一 样 ， 也 是 一 种 分 层 结构 。 由 基于 硬件 层次 
上 的 4 个 概念 性 层次 构成 ， 即 网 络 接口 层 、 网 际 互联 层 、 传 输 层 和 应 用 层 。OSI 参考 模型 与 
TCP/IP 对 比如 图 3.1 所 示 。 


IS0/0SI 模 型 TCP/IP 模 型 
应 用 层 
表示 层 应 用 层 
会 话 层 
传输 层 | 一 传输 层 
网 络 层 一 一 一 二 网 际 互联 层 
数据 链 路 层 
网 络 接口 层 
物理 层 


图 3.1 OSI 参考 模型 与 TCP/IP 协议 对 比 


网 络 接口 层 主要 为 上 层 提 供 服 务 , 完成 链 路 控制 等 功能 , 网 际 互 联 层 主要 解决 主机 到 主机 
之 间 的 通信 问题 。 其 主要 协议 有 : 网 际 协议 〈IP)、 地 址 解析 协议 (ARP)、 反 向 地 址 解析 协议 
CRARP) 和 互联 网 控制 报 文 协议 (ICMP )。 传 输 层 为 应 用 层 提供 端 到 端的 通信 功能 ， 同 时 提 
供 流量 控制 ， 确 保 数据 完整 和 正确 。TCP 协议 位 于 该 层 ， 提 供 一 种 可 靠 的 、 面 向 连接 的 数据 
传输 服务 ; 与 此 对 应 的 是 UDP 协议 ， 提 供 不 可 靠 的 、 无 连接 的 数据 报 传输 服务 。 应 用 层 对 应 
于 OSI 参考 模型 中 的 上 面 3 层 ， 为 用 户 提供 所 需要 的 各 种 应 用 服务 ， 如 FTP、Telnet、DNS、 
SMTP 等 。 

TCP/IP 协议 体系 及 其 实现 中 有 很 多 概念 和 术语 ， 为 方便 理解 ， 本 节 集中 介绍 一 些 最 常用 
的 概念 与 术语 。 
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2. 包 ( packet ) 


包 (packet) 是 网 络 上 传输 的 数据 片段 ， 也 称 分 组 ， 同 时 称 作 IP 数据 报 。 用 户 数据 按照 规 
定 划分 为 大 小 适中 的 若干 组 , 每 个 组 加 上 包头 构成 一 个 包 , 这 个 过 程 称 为 封装 。 网 络 上 使 用 包 
为 单位 传输 。 包 是 一 种 统称 ， 在 不 同 的 层次 ， 包 有 不 同 的 名 字 ， 如 TCP/IP 称 作 帧 ， 而 IP 层 称 
为 卫 数据 报 ，TCP 层 称 为 TCP 报 文 等 。 图 3.2 为 IP 数据 报 格式 。 


0 4 8 16 20 31 
版 本 | 长 度 | 服务 类 型 总 长 度 
标识 标志 | 分 片 位 移 
时 间 协议 包头 校 验 和 
源 IP 地 址 
目的 IP 地 址 
选项 填充 
数据 
其 他 


图 3.2 IP 数据 报 格 式 


3. 网 络 字 节 顺序 
由 于 不 同体 系 结构 的 计算 机 存储 数据 的 格式 和 顺序 都 不 一 样 ,要 使 用 互联 网 互联 必须 定义 
-个 数据 的 表示 标准 。 如 一 台 计 算 机 发 送 1 个 32 位 的 整数 至 另外 一 台 计 算 机 ， 由 于 机 器 上 存 
储 整 数 的 字 节 顺序 可 能 不 一 样 ， 按 照 源 计算 机 的 格式 发 送 到 目的 主机 可 能 会 改变 数字 的 值 。 
TCP/IP 协议 定义 了 一 种 所 有 机 器 在 互联 网 分 组 的 二 进 制 字段 中 必须 使 用 的 网 络 标准 字 节 顺序 
(network standard byte order)， 与 此 对 应 的 是 主机 字 节 顺序 ， 主 机 字 节 顺序 是 和 各 个 主机 密切 
相关 的 。 传 输 时 需要 遵循 以 下 转换 规则 :“ 主 机 字 节 顺序 一 网 络 字 节 顺序 一 主机 字 节 顺序 ” 即 
发 送 方 将 主机 字 节 顺序 的 整数 转换 为 网 络 字 节 顺 序 然后 发 送出 去 ,接收 方 收 到 数据 后 将 网 络 字 
节 顺 序 的 整数 转换 为 自己 的 主机 字 节 顺序 然后 处 理 。 


4. 地 址 解析 协议 ( ARP ) 


TCP/IP 网 络 使 用 I 了 P 地 址 寻 址 ， 卫 包 在 卫 层 实现 路 由 选择 。 但 是 IP 包 在 数据 链 路 层 的 传输 却 
需要 知道 设备 的 物理 地 址 ， 因 此 需要 一 种 人 P 地 址 到 物理 地 址 的 转换 协议 。TCP/IP 协议 栈 使 用 一 种 
动态 绑 定 技术 ， 来 实现 一 种 维护 起 来 既 高 效 又 容易 的 机 制 ， 这 就 是 地 址 解析 协议 (ARP )。 

ARP 协议 是 在 以 太 网 这 种 有 广播 能 力 的 网 络 中 解决 地 址 转换 问题 的 方法 。 这 种 办 法 允许 
在 不 重新 编译 代码 、 不 需 维护 一 个 集中 式 数 据 库 的 情况 下 , 在 网 络 中 动态 增加 新 机 器 。 其 原理 
简单 描述 为 : 当主 机 A 想 转换 某 一 IP 地 址 时 ， 通 过 向 网 络 中 广播 一 个 专门 的 报 文 分 组 ， 要 求 
具有 该 卫 地 址 机 以 其 物理 地 址 做 出 应 答 。 当 所 有 主机 都 收 到 这 个 请 求 ， 但 是 只 有 符合 条 件 的 
主机 才 辨 认 该 人 P 地 址 ， 同 时 发 回 一 个 应 答 ， 应 答 中 包含 其 物理 地 址 。 主 机 A 收 到 应 答 时 便 知 
道 了 该 人 P 地 址 对 应 的 物理 硬件 地 址 ， 并 使 用 这 个 地 址 直接 把 数据 分 组 发 送出 去 。 
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3.1.2 UDP 与 ICMP 协议 简介 

UDP (User Datagram Protocol) 是 一 种 无 连接 的 传输 层 协议 ， 主 要 用 于 不 要 求 分 组 顺序 到 
达 的 传输 中 , 分 组 传输 顺序 的 检查 与 排序 由 应 用 层 完 成 ,提供 面向 事务 的 简单 不 可 靠 信 息 传送 
服务 。 由 于 其 不 提供 数据 包 分 组 、 组 装 和 不 能 对 数据 包 进 行 排序 的 缺点 ， 当 报 文 发 送 之 后 ， 是 
无 法 得 知 其 是 否 安 全 完整 到 达 的 ， 同 时 流量 不 易 控制 ， 如 网 络 质量 较 差 ， 则 UDP 协议 数据 包 
丢失 会 比较 严重 。 但 UDP 协议 具有 资源 消耗 小 ， 处 理 速 度 快 的 优点 。 

ICMP 是 Internet Control Message Protocol (Internet 控制 报 文 协议 ) 的 缩写 ， 属于 TCP/IP 
协议 族 的 一 个 子 协议 ， 用 于 在 IP 主机 、 路 由 器 之 间 传 递 控 制 消息 。 控 制 消息 是 指 网 络 通 不 通 、 
主机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消息 。 如 经 常 使 用 的 用 于 检查 网 络 通 不 通 的 ping 
命令 ，ping 的 过 程 实际 上 就 是 ICMP 协议 工作 的 过 程 。ICMP 唯一 的 功能 是 报告 问题 而 不 是 纠 
正 错误 ， 纠 正 错误 的 任务 由 发 送 方 完成 。 


C9) 


网 络 管 理 命令 


在 进行 网 络 配置 之 前 首先 需要 了 解 网 络 管理 命令 的 使 用 ,本 节 主要 介绍 网 络 管理 中 常用 的 


3.2.1 检查 网 络 是 否 通畅 或 网 络 连接 速度 ping 

ping 常常 用 来 测试 与 目标 主机 或 域名 是 否 可 达 , 通过 发 送 ICMP 数据 包 到 网 络 主机 , 并 显 
示 响 应 情况 ， 并 根据 输出 信息 来 确定 目标 主机 或 域名 是 否 可 达 。ping 的 结果 通常 情况 下 是 可 
信 的 ， 由 于 有 些 服务 器 可 以 设置 禁止 ping， 从 而 使 ping 的 结果 并 不 是 完全 可 信 的 。ping 命令 
常用 的 参数 说 明 如 表 3.1 所 示 。 

Linux 下 ping 不 会 自动 终止 ， 需 要 按 “Ctrlte” 终 止 或 用 参数 “-c” 指 定 要 求 完成 的 回应 
次 数 。 


表 3.1 ping 命 令 常用 参数 说 明 


使 用 Socket 的 SO_DEBUG 功 能 


极限 检测 。 大 量 且 快速 地 送 网 络 封包 给 一 台 机 器 ， 看 其 回应 

只 输出 数值 

不 显示 任何 传送 封包 的 信息 ， 只 显示 最 后 的 结果 

忽略 普通 的 Routing Table， 直 接 将 数据 包 送 到 远 端 主机 上 
记录 路 由 过 程 

详细 显示 指令 的 执行 过 程 

在 发 送 指定 数目 的 包 后 停止 

设 定 间隔 几 秒 送 一 个 网 络 封包 给 一 台 机 器 ， 预 设 值 是 一 秒 送 一 次 
使 用 指定 的 网 络 界面 送出 数据 包 

设置 在 送出 要 求 信 息 之 前 ， 先 行 发 出 的 数据 包 


i a 
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参数 说 明 
| -p | 设置 填 满 数据 包 的 范本 样式 

|-s ”| 指定 发 送 的 数据 字 节 数 

| -t ”| 设置 存活 数值 TTL 的 大 小 


ping 常见 的 用 法 如 【示例 3-1】 所 示 。 
【示例 3-1】 


里 与 运 维 实战 


除了 以 上 示例 ，ping 的 各 个 参数 还 可 以 结合 使 用 ， 读 者 可 上 机 加 以 练习 。 


3.2.2 配置 网 络 或 显示 当前 网 络 接口 状态 ifconfig 
ifconfig 命令 可 以 用 于 查看 、 配 置 、 启 用 或 禁用 指定 网 络 接口 ， 如 配置 网 卡 的 卫 地 址 、 掩 
码 、 广 播 地 址 、 网 关 等 ，Windows 类 似 的 命令 为 ipconfig。 语 法 如 下 : 


其 中 interface 是 网 络 接口 名 ，address 是 分 配给 指定 接口 的 主机 名 或 IP 地 址 。-net 和 -host 
参数 分 别 告诉 ifconfig 将 这 个 地 址 作为 网 络 号 或 是 主机 地 址 。 与 之 前 版 本 的 网 卡 命名 规则 不 
同 ，CentOS 7 采用 固件 信息 、 网 络 拓扑 等 信息 来 命名 网 卡 ， 这 种 方法 更 易于 固定 网 卡 的 名 称 。 
Linux 系统 中 的 网 卡 lo 为 本 地 环 回 接口 ，IP 地 址 固定 为 127.0.0.1， 子 网 掩 码 8 位 ， 表 示 本 机 。 
ifeonfig 常见 使 用 方法 如 【示例 3-2】 所 示 。 


【示例 3-2】 
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说 明 : 


第 1 行 : UP 表示 此 网 络 接口 为 启用 状态 , RUNNING 表示 网 卡 设备 已 连接 , MULTICAST 
表示 支持 组 播 ，MTU 为 数据 包 最 大 传输 单元 。 


第 2 行 : 
第 3 行 : 
第 4 行 : 
第 5 行 : 
第 6 行 : 
第 7 行 : 
第 8 行 : 


依次 为 网 卡 IP、 子 网 掩 码 、 广 播 地 址 。 

ipv6 地 址 。 

Ethernet〔 以 太 网 ) 表示 连接 类 型 ，ether 为 网 卡 的 MAC 地 址 。 
接收 数据 包 个 数 、 大 小 统计 信息 。 

异常 接收 包 的 数量 ， 如 丢 包 量 ， 错 误 等 。 

发 送 数 据 包 个 数 、 大 小 统计 信息 。 

导演 发 送 包 的 数量 ， 如 丢 包 量 ， 错 误 等 。 


如 果 第 6 行 和 第 8 行 中 的 丢 包 量 、 错误 包 量 较 高 , 通常 表示 物理 链 路 存在 问题 。 例 如 网 线 
干扰 过 大 、 距 离 太 长 等 。 
设置 IP 地 址 使 用 以 下 命令 : 


设置 完 后 使 用 ifeonifg 命令 查看 ， 可 以 看 到 两 个 网 卡 信息 了 ， 分 别 为 :eth0 和 eth0:1。 如 
继续 设置 其 他 卫 ， 可 以 使 用 类 似 的 方法 ， 如 【示例 3-3】 所 示 。 


【示例 3-3】 


CentOS 7 系统 管理 与 运 维 实战 


除 以 上 功能 外 ，ifconfig 还 可 以 设置 网 卡 的 MTU。 以 上 的 设置 会 在 重启 后 丢失 ， 如 需 重启 
后 依然 生效 ， 可 以 通过 设置 网 络 接口 文件 永久 生效 。 更 多 使 用 方法 可 以 参考 系统 帮助 man 
ifconfig。 


在 CentOS 和 RHEL 中 使 用 命令 ifup 和 ifdown 加 网 络 接口 名 ， 可 以 启用 、 禁 用 对 应 的 网 
络 接口 。 


3.2.3 ”显示 添加 或 修改 路 由 表 route 
route 命令 用 于 查看 或 编辑 计算 机 的 IP 路 由 表 。route 命令 的 语法 如 下 : 


参数 说 明 : 

Command: 指定 想 要 进行 的 操作 ， 如 add、change、delete、print; 

Destination: 指定 该 路 由 的 网 络 目 标 ; 

mask netmask: 指定 与 网 络 目标 相关 的 子 网 掩 码 ; 

gateway: 网 关 ; 

metric: 为 路 由 指定 一 个 整数 成 本 指标 ， 当 路 由 表 的 多 个 路 由 进行 选择 时 可 以 使 用 ; 
dev if: 为 可 以 访问 目标 的 网 络 接口 指定 接口 索引 。 


route 使 用 方法 如 【示例 3-4】 所 示 。 
【示例 3-4】 
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3.2.4 复制 文件 至 其 他 系统 scp 

如 本 地 主机 需要 和 远程 主机 进行 数据 迁移 或 文件 传送 ， 可 以 使 用 fp， 或 搭建 Web 服务 ， 
另外 可 选 的 方法 有 sep 或 rsync。 scp 可 以 将 本 地 文件 传送 到 远程 主机 或 从 远程 主机 拉 取 文件 到 
本 地 。 其 一 般 语法 如 下 所 示 ， 注 意 由 于 各 个 发 行 版 不 同 ，scp 语法 不 尽 相 同 ， 具 体 使 用 方法 可 
查看 系统 帮助 。 


scp 命令 执行 成 功 返回 0， 失 败 或 有 异常 时 返回 大 于 0 的 值 ， 常 用 参数 说 明 如 表 3.2 所 示 。 
表 3.2 scp 命令 常用 参数 说 明 


参数 说 明 
| -| 指定 远程 连接 端口 | 
[| -4 | 把 进度 参数 关 挤 | 
| | 递归 地 复制 整个 文人 | 


scp 使 用 方法 如 【示例 3-5】 所 示 。 
【示例 3-5】 
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# 将 本 地 目录 传送 至 远程 主机 指定 目录 
[rooteCcentOS soft]# scp -r apache2 root@192.168.3.100:/data 


root@192.168.3.100's password: 
logresolve.8 100% 1407 1.4KB/s 00:00 
rotatelogs.8 100% 5334 5.2KB/s 00:00 


3.2.5 ”复制 文件 至 其 他 系统 rsync 
rsync 是 Linux 系统 下 的 常用 的 数据 镜像 备份 工具 ， 用 于 在 不 同 的 主机 之 间 同 步 文件 。 除 
了 单个 文件 ，rsync 可 以 镜像 保存 整个 目录 树 和 文件 系统 ， 并 可 以 增 量 同步 ， 并 保持 文件 原来 
的 属性 ， 如 权限 ， 时 间 戳 等 。rsync 数据 传输 过 程 中 是 加 密 的 ， 保 证 数据 的 安全 性 。 
rsync 命令 语法 如 下 : 
Usage: rsync [OPTION]... SRC [SRC]... DEST 
or rsync [OPTION]... SRC [SRC]... [USER@]HOST:DEST 
or rsync [OPTION]... SRC [SRC]... [USER@]HOST::DEST 
or rsync [OPTION]... SRC [SRC]... rsync://[USER@]HOST[:PORT]/DEST 
or rsync [OPTION]... [USER@]HOST:SRC [DEST] 
or rsync [OPTION]... [USER@]HOST::SRC [DEST] 
or rsync [OPTION]... rsync://[USER@]HOST[:PORT]/SRC [DEST] 


OPTION 可 以 指定 某 些 选项 ， 如 压缩 传输 ， 是 否 递归 传输 等 ，SRC 为 本 地 目录 或 文件 ， 
USER 和 HOST 表示 可 以 登录 远程 服务 的 用 户 名 和 主机 ，DEST 表示 远程 路 径 。rsync 常用 参 
数 如 表 3.3 所 示 ， 由 于 参数 众多 ， 只 列 出 某 些 有 代表 性 的 参数 。 


表 3.3 rsync 命 令 常用 参数 说 明 


参数 说 明 
详细 模式 输出 
精简 输出 模式 
打开 校 验 开 关 ， 强 制 对 文件 传输 进行 校 验 

归档 模式 ， 表 示 以 递归 方式 传输 文件 ， 并 保持 所 有 文件 属性 ， 等 于 -dptgoD 
对 子 目 录 以 递归 模式 处 理 
使 用 相对 路 径 信息 
保持 文件 权限 
保持 文件 属 主 信息 
保持 文件 属 组 信息 
保持 文件 时 间 信 息 
现实 哪些 文件 将 被 传输 
拷贝 文件 ， 不 进行 增 量 检 测 
指定 使 用 rsh、ssh 方 式 进行 数据 同步 
删除 那些 DST 中 SRC 没 有 的 文件 
--timeout=TIME IP 超 时 时 间 ， 单 位 为 秒 


对 备份 的 文件 在 传输 时 进行 压缩 处 理 
--exclude=PATTERN | 指定 排除 不 需要 传输 的 文件 模式 
--include=PATTERN | 指定 不 排除 而 需要 传输 的 文件 模式 
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说 明 
--exclude-from=FILE | 排除 FILE 中 指定 模式 的 文件 
不 排除 FILE 指 定 模式 匹配 的 文件 


-Password-file=FILE 


rsync 使 用 方法 如 【示例 3-6】。 
【示例 3-6】 


rsync 具有 增 量 传输 的 功能 ， 利 用 此 特性 可 以 用 来 做 文件 的 增 量 备 份 。 通 过 rsync 可 以 解 
决 对 实时 性 要 求 不 高 的 数据 备份 需求 。 随 着 文件 增多 rsync 做 数据 同步 时 ， 需 要 扫描 所 有 文件 
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后 进行 对 比 ， 然 后 进行 差 量 传输 。 如 果 文 件 很 多 ， 扫 描 文件 是 非常 耗 时 的 ， 使 用 rsync 反而 比 
较 低 效 。 


使 用 rsync 之 前 需要 做 一 些 简单 的 配置 ， 读 者 可 自行 参考 相关 文档 了 解 。 


3.2.6 ”显示 网 络 连接 、 路 由 表 或 接口 状态 netstat 
netstat 命令 用 于 监控 系统 网 络 配置 和 工作 状况 , 可 以 显示 内 核 路 由 表 、 活动 的 网 络 状态 以 
及 每 个 网 络 接口 的 有 用 的 统计 数字 。 常 用 的 参数 如 表 3.4 所 示 。 


表 3.4 netstat 命 令 常 用 参数 说 明 


参数 说 阴 
| -a | 显示 所 有 连接 中 的 Socket 
| -c | 持续 列 出 网 络 状态 
|-h | 在 线 帮助 
| -| 显示 网 络 界面 
| -| | 显示 监控 中 的 服务 器 的 Socket 
| -n | 直接 使 用 地 址 
| -p | 显示 正在 使 用 Socket 的 程序 名 称 
显示 路 由 表 
| -s | 显示 网 络 工作 信息 统计 表 
| -t | 显示 TCP 端 口 情况 
| -| 显示 UDP 端口 情况 
显示 命令 执行 过 程 
显示 版 本 信息 


netstat 常见 使 用 方法 如 【示例 3-7】 所 示 。 


【示例 3-7】 
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netstat 工具 是 运 维 工程 师 最 常用 的 工具 之 一 ， 经 常 被 用 来 查看 主机 网 络 状态 、 监 听 列 表 
等 ， 因 此 需要 掌握 好 此 工具 的 使 用 方法 。 


3.2.7 ”探测 至 目的 地 址 的 路 由 信息 traceroute 
traceroute 跟踪 数据 包 到 达 网 络 主机 所 经 过 的 路 由 ， 原 理 是 试图 以 最 小 的 TTL 发 出 探测 包 
来 跟踪 数据 包 到 达 目 标 主机 所 经 过 的 网 关 , 然后 监听 一 个 来 自 网 关 ICMP 的 应 答 。 使 用 语法 下 : 
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CE TypeofService] [-v] [-wWaitTine] Host [Packetsizl 
常用 参数 如 表 3.5 所 示 。 
表 3.5 traceroute 命 令 常用 参数 说 明 


参数 说 明 
四 设置 第 一 个 检测 数据 包 的 存活 数值 TTL 的 大 小 

|-g | 设置 来 源 路 由 网 关 ， 最 多 可 设置 8 个 

|-i | 使 用 指定 的 网 络 界面 送出 数据 包 

| | 使 用 CMP 回 应 取代 UDP 资料 信息 

|-m | 设置 检测 数据 包 的 最 大 存活 数值 TTL 的 大 小 ， 默 认 值 为 30 次 

|-n | 直接 使 用 了 地 址 而 非 主 机 名 称 。 当 DNS 不 起 作用 时 常用 到 这 个 参数 
|-p | 设置 UDP 传输 协议 的 通信 端口 。 默 认 值 是 33434 

| -| 忽略 普通 的 路 由 表 Routing Table， 直 接 将 数据 包 送 到 远 端 主机 上 
|-s | 设置 本 地 主机 送出 数据 包 的 IP 地 址 

| -| 设置 检测 数据 包 的 TOS 数 什 

详细 显示 指令 的 执行 过 程 

|-w ”| 设置 等 待 远 端 主机 回报 的 时 间 。 默 认 值 为 3 秒 

|-x | 开启 或 关闭 数据 包 的 正确 性 检验 

[|-qn | 在 每 次 设置 生存 期 时 ， 把 探测 包 的 个 数 设 置 为 值 n， 默 认 时 为 3 


traceroute 常用 操作 如 【示例 3-8】 所 示 。 
【示例 3-8】 
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以 上 示例 每 行 记录 对 应 一 跳 ， 每 跳 表示 一 个 网 关 ， 每 行 有 3 个 时 间 ， 单 位 是 ms， 如 域名 
不 通 或 主机 不 通 可 根据 显示 的 网 关 信息 定位 。 星 号 表示 ICMP 信息 没有 返回 ， 以 上 示例 访问 
www.mysql.com 时 不 通 ， 数 据 包 到 达 某 一 节点 时 没有 返回 ， 可 以 将 此 结果 提交 IDC 运营 商 ， 
以 便于 解决 问题 。 

traceroute 实际 上 是 通过 给 目标 机 的 一 个 非法 UDP 端口 号 发 送 一 系列 UDP 数据 包 来 工作 
的 。 使 用 默认 设置 时 ， 本 地 机 给 每 个 路 由 器 发 送 3 个 数据 包 ， 最 多 可 经 过 30 个 路 由 器 。 如 果 
已 经 经 过 了 30 个 路 由 器 , 但 还 未 到 达 目 标 机 ， 那 么 traceroute 将 终止 。 每 个 数据 包 都 对 应 一 个 
Max_ttl 值 ， 同 一 跳 步 的 数据 包 该 值 一 样 ， 不 同 跳 步 的 数据 包 的 值 从 1 开始 ， 每 经 过 一 个 跳 步 
值 加 1。 当 本 地 机 发 出 的 数据 包 到 达 路 由 器 时 ， 路 由 器 就 响应 一 个 ICMPTimeExceed 消息 ， 于 
是 traceroute 就 显示 出 当前 跳 步 数 ， 路 由 器 的 IP 地 址 或 名 字 ，3 个 数据 包 分 别 对 应 的 周转 时 间 
(以 ms 为 单位 )。 如 果 本 地 机 在 指定 的 时 间 内 未 收 到 响应 包 ， 那 么 在 数据 包 的 周转 时 间 栏 就 
显示 出 一 个 星 号 。 当 一 个 跳 步 结束 时 ， 本 地 机 根据 当前 路 由 器 的 路 由 信息 ， 给 下 一 个 路 由 器 又 
发 出 3 个 数据 包 ， 周 而 复 始 ， 直 到 收 到 一 个 ICMPPORT_UNREACHABLE 的 消息 ， 意 味 着 已 
到 达 目 标 机 ， 或 已 达到 指定 的 最 大 跳 步 数 。 


3.2.8 测试 、 登 录 或 控制 远程 主机 telnet 

telnet 命令 通常 用 来 远程 登录 。telnet 程序 是 基于 TELNET 协议 的 远程 登录 客户 端 程序 。 
TELNET 协议 是 TCP/IP 协议 族 中 的 一 员 ， 是 Internet 远程 登录 服务 的 标准 协议 和 主要 方式 ， 
为 用 户 提供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 客户 端 可 以 使 用 telnet 在 程序 中 输 
入 命令 ， 可 以 在 本 地 控制 服务 器 。 由 于 telnet 采用 明文 传送 报 文 ， 安 全 性 较 差 。telnet 可 以 确 
定 远程 服 务 端口 的 状态 ， 以 便 确认 服务 是 否 正常 。telnet 常用 方法 如 【示例 3-9】 所 示 。 


【示例 3-9】 
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如 果 发 现 端口 可 以 正常 telnet 登录 ， 则 表示 远程 服务 正常 。 除 确认 远程 服务 是 否 正常 外 ， 
对 于 提供 开放 telnet 功能 的 服务 ,使 用 telnet 可 以 登录 远程 端口 , 输入 合法 的 用 户 名 和 口令 后 ， 
就 可 以 进行 其 他 工作 了 。 更 多 的 使 用 帮助 可 以 查看 系统 帮助 。 


3.2.9 下 载 网 络 文件 wget 
wget 类 似 Windows 中 的 下 载 工具 ， 大 多 数 Linux 发 行 版 本 都 默认 包含 此 工具 。 用 法 比较 
简单 ， 如 要 下 载 某 个 文件 ， 可 以 使 用 以 下 的 命令 : 


wget 常用 参数 说 明 如 表 3.6 所 示 。 
表 3.6 wget 命令 常用 参数 说 明 


参数 说 明 


|-b | 后 台 执行 
显示 调试 信息 
| -ne | 不 覆盖 已 有 的 文件 
断 点 下 传 
该 参数 指定 wget 只 下 载 更 新 的 文件 
| -$S | 显示 服务 器 响应 
超时 时 间 设 置 ( 单 位 秒 ) 

| -wtime ”| 重 试 延 时 (单位 秒 ) 

重 试 次 数 

| -nd ”| 不 下 载 目录 结构 ， 把 从 服务 器 所 有 指定 目录 下 载 的 文件 都 堆 到 当前 目录 里 


不 创建 以 目标 主机 域名 为 目录 名 的 目录 ,将 目标 主机 的 目录 结构 直接 下 到 当前 目录 下 
| -i[depth] ”| 下 载 远 程 服务 器 目录 结构 的 深度 
|-np 上 | 只 下 载 目 标 站 点 指定 目录 及 其 子 目录 的 内 容 


wget 具有 强大 的 功能 ， 比 如 断 点 续 传 ， 可 同时 支持 FTP 或 HTTP 协议 下 载 ， 并 可 以 设置 
代理 服务 器 。 常 用 方法 如 【示例 3-10】 所 示 。 


【示例 3-10】 
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wget 其 他 用 法 可 参考 系统 帮助 ， 其 功能 等 待 慢 慢 探索 。 


3 了 .了 Linux 网 络 配置 


Linux 系统 在 服务 器 占用 较 大 份额 , 使 用 计算 机 首先 要 了 解 网 络 配置 , 本 节 主 要 介绍 Linux 
系统 的 网 络 配置 。 


3.3.1 Linux 网 络 相关 配置 文件 
Linux 网 络 配置 相关 的 文件 根据 不 同 的 发 行 版 目录 名 称 有 所 不 同 ， 但 大 同 小 异 ， 主 要 有 以 
下 目录 或 文件 。 


(1) /etc/hostname: 主要 功能 在 于 修改 主机 名 称 。 

(2) /etc/sysconfig/network-scrips/ifefg-enoN: 是 设置 网 卡 参数 的 文件 ， 比 如 IP 地 址 、 子 
网 掩 码 、 广 播 地 址 、 网 关 等 ，N 为 一 串 数字 。 

(3) /etc/resolv.conf: 此 文件 设置 了 DNS 相关 的 信息 ， 用 于 将 域名 解析 到 IP。 

(4) /etc/hosts: 计算 机 的 IP 对 应 的 主机 名 称 或 域名 对 应 的 IP 地 址 ， 通 过 设置 
/etc/nsswitch.conf 中 的 选项 可 以 选择 是 DNS 解析 优先 还 是 本 地 设置 优先 。 

(5) /etc/nsswitch.conf (name service switch configuration， 名 字 服 务 切换 配置 ): 规定 通过 
哪些 途径 ， 以 及 按照 什么 顺序 通过 这 些 途 径 来 查找 特定 类 型 的 信息 。 
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3.3.2 配置 Linux 系统 的 IP 地 址 
要 设置 主机 的 IP 地 址 ， 可 以 直接 通过 终端 命令 设置 ， 如 想 设 置 在 系统 重启 后 依然 生效 ， 
可 以 通过 设置 对 应 的 网 络 接口 文件 ， 如 【示例 3-11】 所 示 。 


【示例 3-11】 


主要 字段 的 含义 如 表 3.7 所 示 。 
表 3.7 网卡 设置 参数 说 明 


参数 说 明 


设置 完 ifcfe-eth0 文件 后 ， 需 要 重启 网 络 服务 才能 生效 ， 重 启 后 使 用 这 onfig 查看 设置 是 
否 生 效 : 


同一 个 网 络 接口 可 以 使 用 子 接口 的 方式 设置 多 个 IP 地址， 如 【示例 3-12】 所 示 。 
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【示例 3-12】 


当 服 务 器 重启 或 网 络 服务 重启 后 ， 子 接口 配置 将 消失 ， 如 需 重启 后 依然 生效 ， 可 以 将 配置 
子 接口 命令 加 入 /etc/re.local 文件 中 。 


3.3.3 设置 主机 名 
主机 名 是 识别 某 个 计算 机 在 网 络 中 的 标识 ， 设 置 主机 名 可 以 使 用 hostname 命令 即 可 。 在 
单机 情况 下 主机 名 可 任意 设置 ， 如 以 下 命令 ， 重 新 登录 后 发 现 主机 名 已 经 改变 。 


如 要 修改 重启 后 依然 生效 ,可 以 将 主机 名 写 入 文件 /etc/hostname 中 。 如 【示例 3-13】 所 示 。 
【示例 3-13】 


3.3.4 ”设置 默认 网 关 

设置 好 IP 地 址 以 后 ， 如 果 要 访问 其 他 的 子 网 或 mtemet， 用 户 还 需要 设置 路 由 ， 在 此 不 做 
介绍 ， 这 里 采用 设置 默认 网 关 的 方法 。 在 Linux 中 ， 设 置 默认 网 关 有 两 种 方法 ; 

(1) 第 1 种 方法 就 是 直接 使 用 route 命令 ， 在 设置 默认 网 关 之 前 ， 先 用 route -mn 命令 查 
看 路 由 表 。 执 行 如 下 命令 设置 网 关 。 


如 果 不 想 每 次 开机 都 执行 route 命令 ， 则 应 该 把 要 执行 的 命令 写 入 /etc/rc.d/rc.local 文件 中 。 
(2) 第 2 种 方法 是 在 /etc/sysconfig/network-scripts/ifefg- 接 口 文件 中 添加 如 下 字段 : 
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同样 ， 只 要 是 更 改 了 脚本 文件 ， 必 须 重 启 网 络 服务 来 使 设置 生效 ， 可 执行 下 面 的 命令 : 


使 用 service 命令 时 需要 注意 ， 由 于 CentOS 7 中 使 用 的 是 systemd， 因 此 开启 和 停止 服务 
通常 使 用 systemctl 代替 ， 但 也 可 以 使 用 service。 


上 
画 使 用 命令 方式 配置 默认 路 由 通常 适用 于 临时 测试 。 
3.3.5 设置 DNS 服务 器 
设置 DNS 服务 器 需 修改 /etc/resolv.conf 文件 即 可 。 下 面 是 一 个 resolv.conf 文件 的 示例 。 


【示例 3-14】 


其 中 192.168.3.1 为 第 一 名 字 服 务 器 ，192.168.3.2 为 第 二 名 字 服 务 器 ，option rotate 选项 指 
在 这 2 个 dns server 之 间 轮 询 ，option timeout:1 表示 解析 超时 时 间 1s (默认 为 5s)，attempts 
表示 解析 域名 尝试 的 次 数 。 如 需 添 加 DNS 服务 器 ， 可 直接 修改 此 文件 ， 需 要 注意 的 是 使 用 
nameserver 指定 的 DNS 服务 器 只 有 前 三 条 生效 。 


3.4 Linux 防火 墙 iptables 


在 最 新 版 的 CentOS 7 中 ， 系 统 安装 了 两 个 防火 墙 firewalld 和 iptables， 并 且 默 认 使 用 
firewalld。 由 于 之 前 版 本 均 使 用 iptables， 因 此 本 书 也 主要 介绍 iptables。 要 使 用 Linux 防火 墙 ， 
必须 要 先 了 解 TCP/IP 网 络 的 基本 原理 ， 理 解 Linux 防火 墙 的 工作 原理 ， 本 节 主 要 介绍 Linux 
防火 墙 方面 的 知识 。 


3.4.1 Linux 内 核 防 火 墙 的 工作 原理 

Linux 的 内 核 提供 的 防火 墙 功能 通过 netfiter 框架 实现 ， 并 提供 了 iptables 工具 配置 和 修改 
防火 墙 的 规则 。 

netfilter 的 通用 框架 不 依赖 于 具体 的 协议 ， 而 是 为 每 种 网 络 协议 定义 一 套 钩子 函数 。 这 些 
钩子 函数 在 数据 包 经 过 协议 栈 的 几 个 关键 点 时 被 调用 , 在 这 几 个 点 中 , 协议 栈 将 数据 包 及 钩子 
函数 作为 参数 ， 传 递 给 netfilter 框架 。 

对 于 每 种 网 络 协议 定义 的 钩子 函数 ， 任 何 内 核 模块 可 以 对 每 种 协议 的 一 个 或 多 个 钩子 函数 
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进行 注册 ， 实 现 挂 接 。 这 样 当 某 个 数据 包 被 传递 给 netfilter 框架 时 ， 内 核能 检测 到 是 否 有 有 关 模 
块 对 该 协议 和 钩子 函数 进行 了 注册 。 如 发 现 注册 信息 则 调用 该 模块 在 注册 时 使 用 的 回调 函数 ， 
然后 对 应 模块 去 检查 、 修 改 、 丢 弃 该 数据 包 及 指示 netfilter 将 该 数据 包 传 入 用 户 空间 的 队列 。 

从 以 上 描述 可 以 得 知 钩子 提供 了 一 种 方便 的 机 制 , 以 便 在 数据 包 通 过 Linux 内 核 的 不 同位 
置 上 截获 和 操作 处 理 数 据 包 。 


1. netfilter 的 体系 结构 


网 络 数据 包 的 通信 主要 经 过 以 下 相关 步骤 ， 对 应 netfilter 定义 的 钩子 函数 ， 更 多 信息 可 以 
参考 源 代 码 。 


@ NF _IP PRE ROUTING: 网 络 数据 包 进 入 系统 ， 经 过 了 简单 的 检测 后 ， 数 据 包 转 交 
给 该 函数 进行 处 理 ， 然 后 根据 系统 设置 的 规则 对 数据 包 进行 处 理 ， 如 果 数 据 包 不 被 丢 
弃 则 交 给 路 由 函数 进行 处 理 。 在 该 函数 中 可 以 蔡 换 IP 包 的 目的 地 址 ， 即 DNAT。 

@ NF_IP LOCAL IN: 所 有 发 送 给 本 机 的 数据 包 都 要 通过 该 函数 的 处 理 ， 该 函数 根据 
系统 设置 的 规则 对 数据 包 进 行 处 理 ， 如 果 数 据 包 不 被 丢弃 则 交 给 本 地 的 应 用 程序 。 

@ NF_IP FORWARD: 所 有 不 是 发 送 给 本 机 的 数据 包 都 要 通过 该 函数 进行 处 理 ， 该 函 
数 会 根据 系统 设置 的 规则 对 数据 包 进 行 处 理 ， 如 数据 包 不 被 丢弃 则 转 
NF_IP_POST_ROUTING 进行 处 理 。 

@ NF_IP_ LOCAL OUT: 所 有 从 本 地 应 用 程序 出 来 的 数据 包 必 须 通过 该 函数 的 处 理 ， 
该 函数 根据 系统 设置 的 规则 对 数据 包 进 行 处 理 如 果 数 据 包 不 被 丢弃 则 交 给 路 由 函数 
进行 处 理 。 

@ NEF_IP POST_ ROUTING: 所 有 数据 包 在 发 给 其 他 主机 之 前 需要 通过 该 函数 的 处 理 ， 
该 函数 根据 系统 设置 的 规则 对 数据 包 进 行 处 理 ， 如 果 数 据 包 不 被 丢弃 ,将 数据 包 发 给 
数据 链 路 层 。 在 该 函数 中 可 以 替换 JP 包 的 源 地 址 ， 即 SNAT。 


图 3.3 显示 了 数据 包 在 通过 Linux 防火 墙 时 的 处 理 过 程 。 
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2. 包 过 滤 


每 个 函数 都 可 以 对 数据 包 进行 处 理 , 最 基本 的 操作 为 对 数据 包 进 行 过 滤 。 系 统管 理 员 可 以 
通过 iptables 工具 来 向 内 核 模块 注册 多 个 过 滤 规 则 ， 并 且 指明 过 滤 规 则 的 优先 权 。 设 置 完 以 后 
每 个 钧 子 按照 规则 进行 匹配 ,如果 与 规则 匹配 , 函数 就 会 进行 一 些 过 滤 操 作 , 这 些 操作 主要 是 
以 下 几 个 : 


@ ”NF_ACCEPT: 继续 正常 地 传递 包 
NF_DROP: 丢弃 包 ， 停 止 传送 
NF_STOLEN: 已 经 接管 了 包 ， 不 要 继续 传送 
NF_QUEUE: 排列 包 

NF_REPEAT: 再 次 使 用 该 钩子 


3. 包 选 择 


在 netfilter 框架 上 已 经 创建 了 一 个 包 选 择 系统 ， 这 个 包 选 择 工 具 默认 已 经 注册 了 3 个 表 ， 
分 别 是 : 过滤 (filter) 表 、 网 络 地 址 转换 (NAT) 表 和 mangle 表 。 

在 调用 钧 子 函数 时 是 按照 表 的 顺序 来 调用 的 。 例 如 在 执行 NF_IP_ PRE_ ROUTING 时 , 首 
先 检查 filter 表 ， 然 后 检查 Mangle 表 ， 最 后 检查 NAT 表 。 

过 滤 (filter) 表 过 滤 包 而 不 会 改变 包 ， 仅 仅 是 过 滤 的 作用 ， 实 际 上 由 网 络 过 滤 框架 来 提供 
NF_IP_FORWARD 钩子 的 输出 和 输入 接口 使 得 很 多 过 滤 工 作 变 得 非常 简单 。 从 图 中 可 以 看 出 ， 
NF_IP_LOCAL IN 和 NF_IP LOCAL_ OUT 也 可 以 做 过 滤 ， 但 是 只 是 针对 本 机 。 

网 络 地址 转换 (NAT) 表 分 别 服务 于 两 套 不 同 的 网 络 过 滤 挂 钩 的 包 ， 对 于 非 本 地 包 ， 
NEF_IP_PRE_ ROUTING 和 NF_IP_POST_ROUTING 挂钩 可 以 完美 地 解决 源 地 址 和 目的 地 址 的 
变更 。 

NAT 表 与 filter 表 的 区 别 在 于 只 有 新 建 连接 的 第 1 个 包 会 在 表 中 传送 ， 结 果 将 被 用 于 以 后 
所 有 来 自 这 一 连接 的 包 。 例如 某 一 个 连接 的 第 1 个 数据 包 在 这 个 表 中 被 替换 了 源 地 址 , 那么 以 
后 这 条 连接 的 所 有 包 都 将 被 替换 源 地 址 。 

mangle 表 被 用 于 真正 的 改变 包 的 信息 ，mangle 表 和 所 有 的 5 个 网 络 过 滤 的 钩子 函数 都 有 关 。 


4. 切换 至 iptables 


在 正式 学 习 iptables 之 前 ， 还 需要 将 默认 使 用 的 firewalld 停止 ， 并 让 系统 将 iptables 作为 
默认 防火 墙 。 其 命令 如 下 : 


58 


运 维 必 备 的 网 络 管理 技能 


使 用 上 述 命令 之 后 就 可 以 在 CentOS 7 中 使 用 iptables 了 。 


3.4.2 Linux 软件 防火 墙 iptables 
iptables 工具 用 来 设置 、 维 护 和 检查 Linux 内 核 的 IP 包 过 滤 规 则 。filter、NAT 和 mangle 
表 可 以 包含 多 个 链 〈chain)， 每 个 链 可 以 包含 多 条 规则 (rule)。iptables 主要 对 表 (table)、 链 
(chain) 和 规则 (rule) 进行 管理 。 
iptables 预定 义 了 5 个 链 ， 分 别 对 应 netfilter 的 5 个 钩子 函数 ， 这 5 个 链 分 别 是 : INPUT 
链 、FORWARD 链 、OUTPUT 链 、PREROUTING 链 、POSTROUTING 链 。 
iptables 指令 语法 如 下 : 


“-ttable” 参 数 用 来 指定 规则 表 ， 内 建 的 规则 表 分 别 为 nat、mangle 和 filter， 当 未 指定 规 
则 表 时 ， 默 认为 fter。 各 个 规则 表 的 功能 如 下 : 


@ nat: 此 规则 表 主 要 针对 PREROUTING 和 POSTROUTING 两 个 规则 链 ， 主 要 功能 为 
进行 源 地 址 或 目的 地 址 的 网 址 转换 工作 (SNAT、DNAT ) 。 

@ mangle: 此 规则 表 主 要 针对 PREROUTING、FORWARD 和 POSTROUTING 3 个 规则 
链 ， 某 些 特殊 应 用 可 以 在 此 规则 表 里 设 定 ， 比 如 为 数据 包 做 标记 。 

@ filter 这 个 规则 表 是 默认 规则 表 ， 针 对 INPUT、FORWARD 和 OUTPUT 3 个 规则 链 ， 
这 个 规则 表 主 要 用 来 进行 封包 过 滤 的 处 理 动作 如 DROP LOG ACCEPT 或 REJECT 


iptables 的 简单 用 法 如 【示例 3-15】 所 示 。 
【示例 3-15】 


汪 匡 员 共 中 “tfilter” 夫 示 该 规则 作用 于 filter 表 ，“-A “表示 新 增 规则 ，“-s” 表 示 IP 段 选项 ,] 
j= “j” 表 示 指定 动作 。 该 规则 表示 在 filter 表 FORWARD 链 上 新 增 一 条 规则 ， 发 往 
192.168.19.0/24 网 段 的 包 采 取 丢 弃 操 作 。 要 查看 某 个 表 下 的 各 个 链 的 信息 可 以 使 用 
“iptables -nL “。 


要 使 Linux 系统 成 为 网 络 防火 墙 ， 当 然 除了 内 核 支持 之 外 ,还 需要 启用 Linux 的 网 络 转发 
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功能 。 如 需要 使 系统 启动 时 就 具有 该 功能 ， 可 以 将 上 面 的 命令 写 入 到 /etc/rc.d/rc.local 文件 中 。 
echo 1 > /proc/sys/net/ipv4/ip forward 


数据 包 通 过 表 和 链 时 需要 遵循 一 定 的 顺序 ， 当 数据 包 到 达 防 火 墙 时 ， 如 果 MAC 地 址 符 
合 ， 就 会 由 内 核 里 相应 的 驱动 程序 接收 ， 然 后 会 经 过 一 系列 操作 ， 从 而 决定 是 发 送 给 本 地 的 程 
序 还 是 转发 给 其 他 机 器 。 数 据 包 通过 防火 墙 时 分 以 下 3 种 情况 。 

1. 以 本 地 为 目标 的 包 


当 一 个 数据 包 进入 防火 墙 后 ， 如 果 目 的 地 址 是 本 机 ， 被 防火 墙 进行 检查 的 顺序 如 表 3.8 所 
示 。 如 果 在 某 一 个 步骤 数据 包 被 丢弃 ， 当 然 就 不 会 执行 后 面 的 检查 了 。 


表 3.8 以 本 地 为 目的 的 包 检查 顺序 


步骤 ” 表 说 明 
TT | ”| wwetmttffk 的 | 
|。 | | | 数据 包 进 网络 接 D | 
| 3 | mangle | PREROUTING | 这 个 链 用 来 mangle 数据 包 ， 如 对 包 进行 改写 或 做 标记 。 | 


| 4 | nat | PREROUTING | 这 个 链 主 要 用 来 做 DNAT 

|5 | | | 路 由 判断 ,如 包 是 发 往 本 地 的 还 是 要 转发 的 | 
| 6 | mangle | INPUT | 在 路 由 之 后 ， 被 送 往 本 地 程序 之 前 如 对 包 进行 改写 或 做 标记 
[|s | | | 才气 包 到 达 本 地 程序 如 服务 程序 或 客 P 序 | 


2. 以 本 地 为 源 的 包 
本 地 应 用 程序 发 出 的 数据 包 ， 被 防火 墙 进行 检查 的 顺序 如 表 3.9 所 示 。 
表 3.9 ”以 本 地 为 源 的 包 检查 顺序 


如 服务 程序 或 客户 程序 


OUTPUT 用 来 mangle 数据 包 ， 如 对 包 进 行 改写 或 做 标记 
OUTPUT 对 发 出 的 包 进 行 DNAT 操作 

OUTPUT 对 本 地 发 出 的 包 过 滤 ， 包 的 过 滤 规 则 设置 在 此 
POSTROUTING | 进行 数据 包 的 修改 

POSTROUTING _| 在 这 里 做 SNAT 
离开 网 络 接 口 
数据 包 在 链 路 上 传输 


3. 被 转发 的 包 
需要 通过 防火 墙 转发 的 数据 包 ， 被 防火 墙 进行 检查 的 顺序 如 表 3.10 所 示 。 
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表 3.10 被 转发 的 包 检查 顺序 


数据 包 在 链 路 上 传输 

进入 网 络 接口 

PREROUTING mangle 数据 包 ， 如 对 包 进行 改写 或 做 标记 

PREROUTING 这 个 链 主 要 用 来 做 DNAT 

路 由 判断 ， 如 包 是 发 往 本 地 的 ， 还 是 要 转发 

FORWARD 包 继 续 被 发 送 至 mangle 表 的 FORWARD 链 ， 这 是 非常 特殊 的 情 
况 才 会 用 到 的 。 在 这 里 ， 包 被 mangle。 这 次 mangle 发 生 在 最 初 的 
路 由 判断 之 后 ， 在 最 后 一 次 更 改 包 的 目的 之 前 

FORWARD FORWARD 包 继 续 被 发 送 至 这 条 FORWARD 链 。 只 有 需要 转发 的 
包 才 会 走 到 这 里 ， 并 且 针 对 这 些 包 的 所 有 过 滤 也 在 这 里 进行 。 注 
意 ， 所 有 要 转发 的 包 都 要 经 过 这 里 

这 个 链 也 是 针对 一 些 特殊 类 型 的 包 。 这 一 步 mangle 是 在 所 有 更 改 
包 的 目的 地 址 的 操作 完成 之 后 做 的 ， 但 这 时 包 还 在 本 地 上 

这 个 链 就 是 用 来 做 SNAT 的 ， 不 推荐 在 此 处 过 滤 ， 因 为 某 些 包 即 
使 不 满足 条 件 也 会 通过 

离开 网 络 接口 

数据 包 在 链 路 上 传输 


在 对 包 进 行 过 滤 时 ， 常 用 的 有 以 下 3 个 动作 。 

(1) ACCEPT: 一 旦 数据 包 满足 了 指定 的 匹配 条 件 ， 数 据 包 就 会 被 ACCEPT， 并 且 不 会 
再 去 匹配 当前 链 中 的 其 他 规则 或 同一 个 表 内 的 其 他 规则 ， 但 数据 仍然 需要 通过 其 他 表 中 的 链 。 

(2) DROP: 如 果 包 符合 条 件 ， 数 据 包 就 会 被 丢掉 ， 并 且 不 会 向 发 送 者 返回 任何 信息 ， 
也 不 会 向 路 由 器 返回 信息 。 

(3) REJECT: 和 DROP 基本 一 样 ， 区 别 在 于 除了 将 包 丢弃 并 且 向 发 送 者 返回 错误 信息 。 


要 进一步 了 解 各 个 链 中 规则 的 匹配 顺序 ， 就 来 学 习 下 filter 表 中 FORWARD 链 的 输出 ， 如 
【示例 3-16】 所 示 。 


【示例 3-16】 

[root@CentOs ~]# iptables -nvL 

Chain FORWARD (policy DROP) 

target prot opt source destination 

ACCEPT all -- 192.168.100.0/24 0.0.0.0/0 
ACCEPT all -- 0.0.0.0/0 69.147.0.0/24 

ACCEPT all -- 172.16.0.0/16 0.0.0.0/0 
mychain tcp -- 10.0.0.0/24 0.0.0.0 tcp dpt:80 


“policy DROP” 表 示 该 链 的 默认 规则 为 DROP 操作 。 如 现 有 一 数据 包 ， 源 地 址 为 
192.168.1.58， 目 的 地 址 为 137.254.60.6， 协 议 为 TCP， 目 的 端口 为 80。 当 该 数据 包 通 过 
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FORWARD 链 时 ， 从 上 往 下 开始 匹配 : 


(1) 与 第 1 条 规则 : 源 为 192.168.100.0/24， 源 不 匹配 。 
(2) 与 第 2 条 规则 : 目的 为 69.147.0.0/24， 目 标 不 匹配 。 
(3) 与 第 3 条 规则 : 源 为 172.16.0.0/16， 源 不 匹配 。 
(4) 与 第 4 条 规则 : 源 为 10.0.0.0/24， 源 不 匹配 。 


由 于 经 过 匹配 以 上 所 有 规则 都 不 符合 ， 数 据 包 则 转交 给 默认 规则 处 理 ， 由 于 本 示例 中 默认 
的 规则 为 DROP， 因 此 该 数据 包 被 丢弃 。 

再 看 另 一 个 数据 包 ， 源 地 址 为 192.168.1.58， 目 的 地 址 为 69.147.83.199， 协 议 为 TCP， 目 
的 端口 为 80。 当 该 数据 包 通 过 FORWARD 链 时 ， 从 上 往 下 开始 匹配 : 


(1) 与 第 1 条 规则 ， 源 为 192.168.100.0/28， 源 不 匹配 。 

(2) 与 第 2 条 规则 : 源 地 址 为 任意 (0.0.0.0/0)， 匹 配 ; 目 的 地 址 为 69.147.0.0/24， 
69.147.83.199 在 范围 内 ， 匹 配 ， 源 端口 和 目的 端口 为 任意 ， 匹 配 ; 协议 为 任意 〈all)， 匹 配 ; 
规则 链 对 该 数据 包 的 动作 为 ACCEPT， 因 此 该 数据 包 通过 。 

如 果 数 据 包 的 源 地 址 为 10.0.0.35， 目 的 地 址 为 69.147.83.199， 协 议 为 TCP， 目 的 端口 为 
80。 当 该 数据 包 通 过 FORWARD 链 时 ， 从 上 往 下 开始 匹配 ， 当 匹配 到 第 4 条 规则 时 匹配 ， 动 
作为 mychain， 此 时 数据 包 会 被 转 到 用 户 自 己 定 义 的 规则 链 mychain 进行 处 理 。 


3.4.3 iptables 配置 实例 

iptables 工具 支持 丰富 的 参数 ， 可 以 IP 和 端口 、 网 络 接口 、TCP 标志 位 或 MAC 地 址 进行 
过 滤 ， 参 数 指定 方式 除 传统 方法 外 ， 可 以 支持 “!”“ALL” 或 “NONE” 等 进行 参数 匹配 。 
iptables 常用 参数 说 明 如 表 3.11 所 示 。 


表 3.11 iptables 命令 参数 含义 说 明 


新 增 规则 到 某 个 规则 链 中 ， 该 规则 将 会 成 为 规则 链 中 的 最 后 一 条 规则 
-D 从 某 个 规则 链 中 删除 一 条 规则 ， 可 以 输入 完整 规则 ， 或 直接 指定 规则 编号 加 以 删除 
-R 蔡 换 某 行规 则 ， 规 则 被 替换 后 并 不 会 改变 顺序 

工 插入 一 条 规则 ， 原 本 该 位 置 上 的 规则 将 会 往 后 移动 一 个 顺 位 

工 列 出 某 规则 链 中 的 所 有 规则 

下 删除 规则 链 的 所 有 规则 

将 数据 包 计数 器 归 零 
定义 新 的 规则 链 
删除 某 个 规则 链 
定义 不 符合 规则 的 数据 包 的 默认 处 理 方式 

修改 某 自 定义 规则 链 的 名 称 

匹配 通信 协议 类 型 是 否 相符 ， 可 以 使 用 ! 运 算 符 进行 反 向 匹配 
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( 续 表 ) 
参数 含义 
EE 匹配 数据 包 的 来 源 全， 可 以 匹配 单个 IP 或 某 个 网 段 
-d 匹配 数据 包 的 目的 地 IP， 设 定 方式 同上 
-i 匹配 数据 包 是 从 那个 网 络 接口 进入 ， 可 以 使 用 通 配 字符 + 指定 匹配 范围 
-0 匹配 数据 包 要 从 哪个 网 络 接口 发 出 ， 设 定 方式 同上 


sport 匹配 数据 包 的 源 端 口 ， 可 以 匹配 单一 端口 或 一 个 范围 

~dport 匹配 数据 包 的 目的 端口 号 ， 设 定 方式 同上 

-tcp-flags ”| 匹配 TCP 数据 包 的 状态 标志 ， 如 SYN、ACK、FIN 等 ， 另 外 可 使 用 ALL 和 NONE 进行 匹配 
-m 匹配 不 连续 的 多 个 源 端口 或 目的 端口 

-m 匹配 数据 包 来 源 网 络 接口 的 MAC 地 址 ， 不 能 用 于 OUTPUT 和 POSTROUTING 规则 链 
ACCEPT “| 将 数据 包 放 行 ， 进 行 完 此 处 理 动 作 后 ， 将 不 再 匹配 其 他 规则 ， 直 接 跳 往 下 一 个 规则 链 
REJECT 阻塞 数据 包 ， 并 传送 数据 包 通 知 对 方 

DROP 丢弃 数据 包 不 予 处 理 ， 进 行 完 此 处 理 动作 后 ， 将 不 再 匹配 其 他 规则 ， 直 接 中 断 过 滤 程 序 
REDIRECT | 将 数据 包 定向 另 一 个 端口 ， 进 行 完 此 处 理 动作 后 ， 将 会 继续 匹配 其 他 规则 

LOG 将 数据 包 相 关 信息 记录 在 /varlog 中 

SNAT 改写 数据 包 来 源 卫 为 某 特 定 IP 或 IP 范围 ， 可 以 指定 port 对 应 的 范围 ， 进 行 完 此 处 理 动作 
后 ， 将 直接 跳 往 下 一 个 规则 

DNAT 改写 数据 包 目 的 地 IP 为 某 特定 IP 或 IP 范围 ,可 以 指定 port 对 应 的 范围 ,进行 完 此 处 理 动 
作 后 ， 将 会 直接 跳 往 下 一 个 规则 链 

RETURN _| 结束 在 目前 规则 链 中 的 过 滤 程 序 ， 返 回 主 规则 链 继续 过 滤 

MARK 数据 包 做 标记 ， 以 便 提 供 作 为 后 续 过 滤 的 条 件 判 断 依据 ， 进 行 完 此 处 理 动作 后 ， 将 会 继续 
配 其 他 规则 


1. 简单 应 用 示例 
iptables 使 用 方法 首先 指定 规则 表 ， 然 后 指定 要 执行 的 命令 ， 接 着 指定 参数 匹配 数据 包 的 内 容 ， 
最 后 是 要 采取 的 动作 。 下 面 通过 一 些 示例 来 说 明 iptables 的 使 用 方法 ， 如 【示例 3-17】 所 示 。 


局 


【示例 3-17】 

# 清 除 所 有 规则 

[rooteCentOS ~]# iptables -F 

# 清 除 nat 表 中 的 所 有 规则 

[root@CentOs ~]# iptables -t nat -F 

# 人 允许 来 自 192 .168.3.0/24 连接 sshd 服务 

[root@CentOs ~]# iptables -A INPUT -p tcp -s 192.168.3.0/24 --dport 22 -j 


ACCEPT 


# 其 他 任何 网 段 访问 不 能 访问 sshd 服务 
[rootecentOS ~]# iptables -A INPUT -p tcp --dport 22 -j DROP 


在 上 述 示例 中 ，“-F” 表 示 清 除 已 存在 的 所 有 规则 ，“-A” 表 示 添 加 一 条 规则 ，“-p” 指 
定 协议 为 TCP，“-s” 指 定 源 地 址 段 ， 如 果 该 参数 忽略 或 为 0.0.0.0/0， 则 源 地 址 表示 任何 地 址 ， 
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“-dport 指定 目的 端口 ”。 包 的 判断 顺序 为 首先 判断 第 1 条 规则 ， 由 于 允许 192.168.3.0/24 网 
段 的 服务 器 访问 sshd 服务 ， 因 此 包 可 以 通过 ; 如果 是 其 他 来 源 的 主机 ， 由 于 第 1 条 规则 不 符 
合 接着 判断 第 2 条 规则 ， 策 略为 禁止 ， 因 此 包 将 被 丢弃 。 

除 以 上 示例 外 ，iptables 可 以 为 每 个 链 指 定 默 认 规 则 ， 如 果 包 不 符合 现存 的 所 有 规则 ， 则 
按 默 认 规则 处 理 ， 方 法 如 【示例 3-18】 所 示 。 


【示例 3-18】 


由 于 设置 了 默认 规则 ， 该 示例 的 功能 同 示例 3-3。 


7 未 仙 k 公 是 为 了 说 表 语 法 和 原理 ， 在 实际 使 用 中 ,还 过 要 注意 规 则 添加 的 大 


[E> 序 ， 使 数据 包 通 过 的 规则 最 少 。 


基于 网 络 接 口 的 过 滤 如 【示例 3-19】 所 示 。 
【示例 3-19】 


使 用 -i 参数 来 指定 数据 包 的 来 源 网 络 接口 ， 使 用 -o 来 指定 数据 包 将 从 哪个 网 络 接口 出 去 。 


画 在 INPUT 链 中 不 能 使 用 -0 选项 ，OUTPUT 链 中 不 能 使 用 -i 选项 。 图 


2. NAT 设置 


通常 网 络 中 的 数据 包 从 包 的 源 地 址 发 出 直到 包 要 发 送 的 目的 地 址 , 整个 路 径 经 过 很 多 不 同 
的 连接 ,一 般 情况 下 这 些 连接 不 会 更 改 数 据 包 的 内 容 ， 只 是 原样 转发 。 如 果 发 出 数据 包 的 主机 
使 用 的 源 地 址 是 私 用 网 络 地 址 , 该 数据 包 将 不 能 在 互联 网 上 传输 。 要 能 够 使 用 私有 网 络 访问 互 
联网 ， 就 必须 要 做 NAT (Network Address Translation， 网 络 地 址 转换 )。 

NAT 分 为 两 种 不 同 的 类 型 : 源 NAT (SNAT) 和 目标 NAT (DNAT)。SNAT 通常 用 于 使 
用 了 私 网 地 址 的 局 域 网 络 能 够 访问 互联 网 。DNAT 是 指 修改 包 的 目标 地 址 ， 端 口 转发 、 负 载 均 
衡 和 透明 代理 都 属于 DNAT。 

在 SNAT 中 改变 源 地 址 ， 如 【示例 3-20】 所 示 。 
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【示例 3-20】 


本 司 如 果 做 SNAT 只 能 在 POSTROUTING 上 进行 ,而 做 DNAT 只 能 在 PREROUTING 内 进行 。 


可 .与 Linux 高 级 网 络 配置 工具 


目前 很 多 Linux 在 使 用 之 前 的 arp、ifconfig 和 route 命令 。 虽 然 这 些 工具 能 够 工作 ， 但 它 
们 在 Linux 2.2 和 更 高 版 本 的 内 核 上 显得 有 一 些 落伍 。 无 论 对 于 Linux 开发 者 还 是 Linux 系统 
管理 员 ， 网 络 程序 调试 时 数据 包 的 采集 和 分 析 是 不 可 少 的 。tcpdump 是 Linux 中 强大 的 数据 包 
采集 分 析 工 具 之 一 。 本 节 主 要 介绍 iproute2 和 tcpdump 的 相关 知识 。 


3.5.1 高 级 网 络 管理 工具 iproute2 

相对 于 系统 提供 的 arp、ifeconfig 和 route 等 旧版 本 的 命令 ，iproute2 工具 包 提 供 了 更 丰富 
的 功能 ， 除 了 提供 了 网 络 参 数 设置 ， 路 由 设置 ， 带 宽 控 制 等 功能 ， 最 新 的 GRE 隧道 也 可 以 通 
过 此 工具 进行 配置 。 

现在 大 多 数 Linux 发 行 版 本 都 安装 了 iproute2 软件 包 , 如 没有 安装 可 以 使 用 yum 工具 进行 
安装 ， 应 该 注意 的 是 yum 工具 需要 联网 才能 使 用 。iproute2 工具 包 中 主要 管理 工具 为 ip 命令 。 
下 面 将 介绍 iproute2 工具 包 的 安装 与 使 用 。 安 装 过 程 如 【示例 3-21】 所 示 。 


【示例 3-21】 


ip 命令 的 语法 如 【示例 3-22】 所 示 。 
【示例 3-22】 
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1. 使 用 ip 命令 来 查看 网 络 配置 


ip 命令 是 iproute2 软件 的 命令 工具 ， 可 以 替代 ifconfig、route 等 命令 ， 查 看 网 络 配 置 的 用 
法 如 【3-23】 所 示 。 


【示例 3-23】 
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上 面 的 命令 显示 了 机 器 上 所 有 的 地 址 ， 以 及 这 些 地 址 属于 哪些 网 络 接口 。“inet” 表 示 
Internet (IPv4)。eth0 的 IP 地 址 与 192.168.3.88/24 相关 联 ，“/24” 指 IP 地 址 表示 网 络 地 址 的 位 
数 ，“1lo” 则 为 本 地 回路 信息 。 


2. 显示 路 由 信息 
如 需 查看 路 由 信息 ， 可 以 使 用 “ip route list” 命 令 ， 如 【示例 3-24】 所 示 。 
【示例 3-24】 


上 述 示例 首先 查看 系统 中 当前 的 路 由 情况 ， 其 功能 和 route 命令 类 似 。 
以 上 只 是 初步 介绍 了 iproute2 的 用 法 ， 更 多 信息 请 查看 系统 帮助 。 


3.5.2 ”网 络 数据 采集 与 分 析 工 具 tcpdump 

tcpdump 即 dump traffic on a network， 根 据 使 用 者 的 定义 对 网 络 上 的 数据 包 进 行 截获 的 包 
分 析 工 具 。 无 论 对 于 网 络 开发 者 还 是 系统 管理 员 ， 数 据 包 的 获取 与 分 析 是 最 重要 的 技术 之 一 。 
对 于 系统 管理 员 来 说 ,在 网 络 性 能 急剧 下 降 的 时 候 ， 可 以 通过 tcpdump 工具 分 析 原因 ， 找 出 造 
成 网 络 阻塞 的 来 源 。 对 于 程序 开发 者 来 说 ， 可 以 通过 tcpdump 工具 来 调试 程序 。tcpdump 支持 
针对 网 络 层 、 协 议 、 主 机 、 网 络 或 端口 的 过 滤 ， 并 提供 and、or、not 等 逻辑 语句 过 滤 不 必要 
的 信息 。 


可 Linux 系统 下 tcpdump 普通 用 户 是 不 能 正常 执行 ， 一 般 通 过 root 用 户 执行 。 
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tcpdump 采用 命令 行 方式 ， 命 令 格 式 如 下 ， 参 数 说 明 如 表 3.12 所 示 。 


tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件 名 ] 
[ -i 网 络 接口 ] [ -r 文件 名 ] [ -s snaplen ] 
[ -T 类 型 ] [ -w 文件 名 ] [表达 式 ] 


表 3.12 tcpdump 命令 参数 含义 说 明 
含义 
以 ASCII 码 方式 显示 每 一 个 数据 包 ， 在 程序 调试 时 可 方便 查看 数据 


将 网 络 地 址 和 广播 地 址 转变 成 名 字 


tcpdump 将 在 接收 到 指定 数目 的 数据 包 后 退出 


将 匹配 信息 包 的 代码 以 人 们 能 够 理解 的 汇编 格式 给 出 


将 匹配 信息 包 的 代码 以 C 语言 程序 段 的 格式 给 出 

将 匹配 信息 包 的 代码 以 十 进 制 的 形式 给 出 

在 输出 行 打印 出 数据 链 路 层 的 头 部 信息 

将 外 部 的 Internet 地 址 以 数字 的 形式 打印 出 来 

使 用 文件 作为 过 滤 条 件 表达 式 的 输入 ， 此 时 命令 行 上 的 输入 将 被 忽略 
指定 监听 的 网 络 接口 

使 标准 输出 变 为 缓冲 行 形式 

不 把 网 络 地 址 转换 成 名 字 

不 打印 出 host 的 域名 部 分 

打印 很 少 的 协议 相关 信息 ， 从 而 输出 行 都 比较 简短 

从 文件 file 中 读 取 包 数据 

设置 tcpdump 的 数据 包 抓 取 长 度 ， 如 果 不 设置 默认 为 68 字 节 

在 输出 的 每 一 行 不 打印 时 间 戳 

不 对 每 行 输出 的 时 间 进 行 格式 处 理 

tcpdump 输出 时 , 每 两 行 打印 之 间 会 延迟 一 个 时 间 段 ， 以 ms 为 单位 
在 每 行 打印 的 时 间 戳 之 前 添加 日 期 的 打印 

输出 一 个 稍微 详细 的 信息 ， 例 如 在 ip 包 中 可 以 包括 也 和 服务 类 型 的 信息 
输出 详细 的 报 文 信息 


产生 比 -vv 更 详细 的 输出 


当 分 析 和 打印 时 ， tcpdump 会 打印 每 个 包 的 头 部 数据 , 同时 会 以 十 六 进 制 打印 出 每 个 包 的 数据 ， 
但 不 包括 连接 层 的 头 部 


tcpdump 会 打印 每 个 包 的 头 部 数据 ， 同 时 会 以 十 六 进 制 打印 出 每 个 包 的 数据 其 中 包括 数据 链 路 
层 的 头 部 


tcpdump 会 打印 每 个 包 的 头 部 数据 ,同时 会 以 十 六 进 制 和 ASCII 码 形式 打印 出 每 个 包 的 数据 , 但 
不 包括 连接 层 的 头 部 


tcpdump 会 打印 每 个 包 的 头 部 数据 ,同时 会 以 十 六 进 制 和 ASCII 码 形式 打印 出 每 个 包 的 数据 ， 其 
中 包括 数据 链 路 层 的 头 部 


首先 确认 本 机 tcpdump 是 否 安 装 ， 如 没有 安装 ， 可 以 使 用 【示例 3-25】 中 的 方法 安装 。 
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【示例 3-25】 


tcpdump 最 简单 的 使 用 方法 如 【示例 3-26】 所 示 。 
【示例 3-26】 


以 上 示例 演示 了 tcpdump 最 简单 的 使 用 方式 ， 如 不 跟 任何 参数 ，tcpdump 会 从 系统 接口 列 
表 中 搜寻 编号 最 小 的 已 配置 好 的 接口 ， 不 包括 loopback 接口 ， 一 旦 找到 第 1 个 符合 条 件 的 接 
口 ， 搜 寻 马 上 结束 ， 并 将 获取 的 数据 包 打印 出 来 。 

tcpdump 利用 表达 式 作为 过 滤 数 据 包 的 条 件 ， 表 达 式 可 以 是 正则 表达 式 。 如 果 数 据 包 符合 
表达 式 ， 则 数据 包 被 截获 ， 如 果 没 有 给 出 任何 条 件 ， 则 接口 上 所 有 的 信息 包 将 会 被 截获 。 

表达 式 中 一 般 有 如 下 几 种 关键 字 : 


(1) 第 1 种 是 关于 类 型 的 关键 字 ， 如 host、net 和 port。 例 如 host 192.168.16.150 指明 
192.168.16.150 为 一 台 主 机 ， 而 net 192.168.16.150 则 表示 192.168.16.150 为 一 个 网 络 地 址 。 如 
果 没 有 指定 类 型 ， 默 认 的 类 型 是 host。 

(2) 第 2 种 是 确定 数据 包 传输 方向 的 关键 字 ， 包 含 src、dst、dst or src 和 dst and src， 这 
些 关 键 字 指明 了 数据 包 的 传输 方向 。 例 如 src 192.168.16.150 指明 数据 包 中 的 源 地 址 是 
192.168.16.150， 而 dst 192.168.16.150 则 指明 数据 包 中 的 目的 地 址 是 192.168.16.150。 如 果 没 有 
指明 方向 关键 字 ， 则 默认 是 src or dst 关键 字 。 

(3) 第 3 种 是 协议 的 关键 字 ， 如 指明 是 TCP 还 是 UDP 协议 。 


除了 这 3 种 类 型 的 关键 字 之 外 ， 还 有 3 种 逻辑 运算 ， 取 非 运 算是 “not” 或 “!”， 与 运算 
是 “and” 或 “&&”， 或 运算 是 “or” 或 “||”。 通 过 这 些 关键 字 的 组 合 可 以 实现 复杂 强大 的 
条 件 。 接 下 来 看 一 个 综合 【示例 3-27】 所 示 。 


与 运 维 实战 


【示例 3-27】 


以 上 tcpdump 表示 抓 取 发 往 本 机 3306 端口 的 请 求 。“-i any” 表 示 截 获 本 机 所 有 网 络 接口 
的 数据 报 “tcp” 表 示 TCP 协议 “dst host” 表 示 数 据 包 地 址 为 192.168.19.101 “dst port” 
表示 目的 地 址 为 3306，“-XX” 表 示 同 时 会 以 十 六 进 制 和 ASCII 码 形式 打印 出 每 个 包 的 数 
据 ”-s100” 表 示 设 置 tcpdump 的 数据 包 抓 取 长 度 为 100 个 字 节 , 如 果 不 设 置 默认 为 68 字 节 ， 
“-n” 表 示 不 对 地 址 如 主机 地 址 或 端口 号 进行 数字 表示 到 名 字 表 示 的 转换 。 输 出 部 分 
“16:08:05” 表 示 时 间 ， 然 后 是 发 起 请 求 的 源 IP 端口 和 目的 IP 和 端口 ，“Flags[P]” 是 TCP 
包 中 的 标志 信息 : S 是 SYN 标志 ，F 表示 FIN, P 表示 PUSH，R 表示 RST，“.” 则 表示 没有 
标记 ， 详 细 说 明 可 进一步 参考 TCP 各 种 状态 之 间 的 转换 规则 。 


林 .6 动态 主机 配置 协议 ( DHCP ) 


使 用 动态 主机 配置 协议 (Dynamic Host Configuration Protocol，DHCP) 可 以 避免 网 络 参数 
变化 后 一 些 烦琐 的 配置 ， 客 户 端 可 以 从 DHCP 服务 端 检索 相关 信息 并 完成 相关 网 络 配置 ， 在 
系统 重启 后 依然 可 以 工作 。DHCP 基于 C/S 模式 ， 主 要 用 于 大 型 网 络 。DHCP 提供 一 种 动态 指 
定 IP 地 址 和 相关 网 络 配置 参数 的 机 制 。 本 节 主 要 介绍 DHCP 的 工作 原理 及 DHCP 服务 端 与 
DHCP 客户 端的 部 署 过 程 。 


3.6.1 DHCP 的 工作 原理 

动态 主机 配置 协议 (DHCP ) 是 用 来 自动 给 客户 端 分 配 TCP/IP 信息 的 网 络 协议 ， 如 卫 地 
址 、 网 关 、 子 网 掩 码 等 信息 。 每 个 DHCP 客户 端 通过 广播 连接 到 区 域内 的 DHCP 服务 器 ， 该 
服务 器 会 相应 请 求 返回 包括 IP 地 址 、 网 关 和 其 他 网 络 配置 信息 。DHCP 的 请 求 过 程 如 图 3.4 
所 示 。 
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DHCP 客 户 端 DHCPREQUEST DHCP 服 务 端 


DHCPNCK 


图 3.4 DHCP 请 求 过 程 


客户 端 请 求 IP 地 址 和 配置 参数 的 过 程 有 以 下 几 个 步骤 : 


oO) 


ELLs 


3.6.2 


客户 端 需 要 寻求 网 络 IP 地 址 和 其 他 网 络 参 数 ， 然 后 向 网 络 中 广播 ， 客户 端 发 出 的 请 
求 名 称 叫 DHCPDISCOVER。 如 广播 网 络 中 有 可 以 分 配 IP 地 址 的 服务 器 ， 服 务 器 会 
返回 相应 应 答 ， 告 诉 客户 端 可 以 分 配 ， 服 务 器 返回 包 的 名 称 叫 DHCPOFFER， 包 内 
包含 可 用 的 IP 地 址 和 参数 。 

如 果 客 户 在 发 出 DHCPOFFER 包 后 一 段 时 间 内 没有 接收 到 响应 ， 会 重新 发 送 请 求 ， 
如 广播 区 域内 有 多 于 一 台 的 DHCP 服务 器 ， 由 客户 端 决定 使 用 哪个 。 

当 客 户 端 选 定 了 某 个 目标 服务 器 后 ， 会 广播 DHCPREQUEST 包 ， 用 以 通知 选 定 的 
DHCP 服务 器 和 未 选 定 的 DHCP 服务 器 。 

服务 端 收 到 DHCPREQUEST 后 会 检查 收 到 的 包 如 果 包 内 的 地 址 和 所 提供 的 地 址 一 
致 ， 证 明 现 在 客户 端 接收 的 是 自己 提供 的 地 址 ; 如 果 不 是 ， 则 说 明 自 己 提供 的 地 址 
未 被 采纳 。 如 被 选 定 的 服务 器 在 接收 到 DHCPREQUEST 包 以 后 ， 因 为 某 些 原因 可 能 
不 能 向 客户 端 提供 这 个 IP 地 址 或 参数 ， 可 以 向 客户 端 发 送 DHCPNAK 包 。 
客户 端 在 收 到 包 后 ， 检 查 内 部 的 IP 地 址 和 租用 时 间 ， 如 发 现 有 问题 ， 则 发 包 拒绝 这 
个 地 址 ， 然 后 重新 发 送 DHCPDISCOVER 包 。 如 无 问题 ， 就 接受 这 个 配置 参数 。 


配置 DHCP 服务 器 


本 节 主 要 介绍 DHCP 服务 器 的 配置 过 程 ， 包 含 安装 ， 配 置 文件 设置 ， 服 务 器 启动 等 步骤 。 


1. 软件 安装 


DHCP 服务 依赖 的 软件 可 以 从 rpm 包 安 装 或 从 源码 进行 安装 ， 本 节 以 yum 工具 为 例 说 明 
DHCP 服务 的 安装 过 程 ， 如 【示例 3-28】 所 示 。 


【示例 3-28】 
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经 过 上 面 的 设置 ，DHCP 服务 已 经 安装 完毕 ， 主 要 的 文件 如 下 : 


2. 编辑 配置 文件 /etc//dhcpd.conf 


要 配置 DHCP 服务 器 ， 需 修改 配置 文件 /etc/dhep/dhcpd.conf。 如 果 不 存 在 则 创建 该 文件 。 
本 示例 实现 的 功能 为 当前 网 络 内 的 服务 器 分 配 指定 IP 段 的 IP 地 址 ， 并 设置 过 期 时 间 为 2 天 。 
配置 文件 如 【示例 3-29】 所 示 。 


【示例 3-29】 


以 上 示例 文件 列 出 了 一 个 子 网 的 声明 ， 包 括 routers 默认 网 关 、subnet-mask 默认 子 网 掩 码 
和 max-lease-time 最 大 租用 周期 ， 单 位 是 秒 。 需 要 特别 说 明 的 是 ， 在 本 地 须 有 一 个 网 络 接口 的 
IP 地 址 为 192.168.19.0 网 络 ，DHCP 服务 才能 启动 。 

配置 文件 的 更 多 选项 可 以 使 用 命令 “man dhcpd.conf” 获 取 更 多 帮助 信息 。 


【示例 3-30】 


如 启动 失败 可 以 参考 屏幕 输出 定位 错误 内 容 ， 或 查看 /var/log/messages 的 内 容 ， 然 后 参考 
dhcpd.conf 的 帮助 文档 。 
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3.6.3 配置 DHCP 客户 端 
当 服 务 端 启动 成 功 后 ， 客 户 端 需要 与 服务 端 网 络 联通 ， 然 后 做 以 下 配置 以 便 自动 获取 人 P 
地 址 。 客 户 端 网 卡 配置 如 【示例 3-31】 所 示 。 


【示例 3-31】 


如 需 使 用 DHCP 服务 ，BOOTPROTO=dhcp 表示 将 当前 主机 的 网 络 IP 地 址 设置 为 自动 获 
取 方 式 。 需 要 说 明 的 是 DHCP 客户 端 无 须 使 用 CentOS 7， 使 用 其 他 版 本 的 Linux 或 Windows 
操作 系统 均 可 ， 在 本 例 中 使 用 的 是 CentOS 6 作为 客户 端 。 测 试 过 程 如 【示例 3-32】 所 示 。 


【示例 3-32】 


客户 端 配置 为 自动 获取 IP 地 址 ， 然 后 重启 网 络 接口 ， 启 动 成 功 后 使 用 ifconfig 查看 成 功 
获取 到 IP 地址 。 


本 节 介绍 了 DHCP 的 基本 功能 ， 如 需 了 解 DHCP 其 他 更 多 的 功能 ， 可 参考 DHCP 的 帮助 
文档 或 其 他 资料 。 


了 .了 Linux 域名 服务 DNS 


如 今 互联 网 应 用 越 来 越 丰富 , 如 仅仅 用 IP 地 址 标识 网 络 上 的 计算 机 是 不 可 能 完成 任务 的 ， 
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而 且 也 没有 必要 , 于 是 产生 了 域名 系统 。 域名 系统 通过 一 系列 有 意义 的 名 称 标识 网 络 上 的 计算 
机 ， 用 户 按 域 名 请 求 某 个 网 络 服务 时 域名 系统 负责 将 其 解析 为 对 应 的 IP 地 址 ， 这 便 是 DNS。 
本 节 将 详细 介绍 有 关 DNS 的 一 些 知识 。 


3.7.1 DNS 简介 

目前 提供 网 络 服务 的 应 用 使 用 唯一 的 32 位 的 IP 地 址 来 标识 , 但 由 于 数字 比较 复杂 、 难以 
记忆 。 因 此 产生 了 域名 系统 。 通 过 域名 系统 ， 可 以 使 用 易于 理解 和 形象 的 字符 串 名 称 来 标识 网 
络 应 用 。 访 问 互联 网 应 用 可 以 域名 ， 也 可 以 通过 IP 地 址 直接 访问 该 应 用 。 在 使 用 域名 访问 网 
络 应 用 时 ，DNS 负责 将 其 解析 为 IP 地 址 。 

DNS 是 一 个 分 布 式 数据 库 系统 ， 扩 充 性 好 ， 由 于 是 分 布 式 的 存储 ， 数 据 量 的 增长 并 不 会 
影响 其 性 能 。 新 加 入 的 网 络 应 用 可 以 由 DNS 负责 将 新 主机 的 信息 传播 到 网 络 中 的 其 他 部 分 。 

域名 查询 有 两 种 常用 的 方式 : 递归 查询 和 人 迭代 查询 。 

递归 查询 由 最 初 的 域名 服务 器 代替 客户 端 进行 域名 查询 。 如 该 域名 服务 器 不 能 直接 回答 ， 
则 会 在 域 中 的 各 分 支 的 上 下 进行 递归 查询 , 最 终 将 返回 查询 结果 给 客户 端 , 在 域名 服务 器 查询 
期 间 ， 客 户 端 将 完全 处 于 等 待 状态 。 

和 迭代 查询 则 每 次 由 客户 端 发 起 请 求 , 如 请 求 的 域名 服务 器 能 提供 需要 查询 的 信息 则 返回 主 
机 地 址 信息 。 如 不 能 提供 ， 则 引导 客户 端 到 其 他 域名 服务 器 查询 。 

以 上 两 种 方式 类 似 需要 寻找 东西 的 过 程 , 一 种 是 找 个 人 蔡 自 己 寻找 ,另外 一 种 是 自己 完成 ， 
首先 到 一 个 地 方 寻找 ， 如 没有 则 向 另外 一 个 地 方 寻找 。 

DNS 域名 服务 器 的 分 类 有 高 速 缓存 服务 器 、 主 DNS 服务 器 和 辅助 DNS 服务 器 。 高 速 组 
存 服务 器 将 每 次 域名 查询 的 结果 缓存 到 本 机 ， 主 DNS 服务 器 则 提供 特定 域 的 权威 信息 ， 是 可 
信赖 的 ， 辅 助 DNS 服务 器 信息 则 来 源 于 主 DNS 服务 器 。 


3.7.2 ”DNS 服务 器 配置 

目前 网 络 上 的 域名 服务 系统 使 用 最 多 的 为 BIND (Berkeley Internet Name Domain ) 软件 ， 
该 软件 实现 了 DNS 协议 。 本 节 主 要 介绍 DNS 服务 器 的 配置 过 程 ， 包 含 安装 、 配 置 文件 设置 、 
服务 器 启动 等 步骤 。 


1. 软件 安装 


DNS 服务 依赖 的 软件 可 以 从 rpm 包 安 装 或 从 源码 进行 安装 , 本 节 以 rpm 包 为 例 说 明 DNS 
服务 的 安装 过 程 ， 如 【示例 3-33】 所 示 。 


【示例 3-33】 
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经 过 上 面 的 设置 ，DNS 服务 已 经 安装 完毕 ， 主 要 的 文件 如 下 : 


2. 编辑 配置 文件 /etc/named.conf 


要 配置 DNS 服务 器 ， 需 修改 配置 文件 /etcnamed.conf。 如 果 不 存在 则 创建 该 文件 。 

本 示例 实现 的 功能 是 搭建 一 域名 服务 器 ns.oa.com, 位 于 192.168.19.101， 其 他 主机 可 以 通 
过 该 域名 服务 器 解析 已 经 注册 的 以 “oa.com” 结 尾 的 域名 。 配 置 文件 如 【示例 3-34】 所 示 ， 如 
需 添加 注释 ， 可 以 以 “#”“//”“; ”开头 的 行 或 使 用 “/* */” 包 含 。 

【示例 3-34】 
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Name.conf 配置 文件 中 的 配置 项 非常 多 ， 以 下 为 最 主要 的 配置 项 说 明 : 


options: 是 全 局 服务 器 的 配置 选项 ， 即 在 options 中 指定 的 参数 ， 对 配置 中 的 任何 域 
都 有 效 ， 如 在 服务 器 上 要 配置 多 个 域 如 testl.com 和 test2.com， 在 option 中 指定 的 选 
项 对 这 些 域 都 生效 。 

listen-on port: DNS 服务 实际 是 一 监听 在 本 机 53 端口 的 TCP 服务 程序 。 该 选项 用 于 
指定 域名 服务 监听 的 网 络 接口 。 如 监听 在 本 机 IP 上 或 127.0.0.1。 此 处 “any” 表 示 接 
收 所 有 主机 的 连接 。 

directory: 指定 named 从 /var/named 目录 下 读 取 DNS 数据 文件 ， 这 个 目录 用 户 可 自 
行 指定 并 创建 ， 指 定 后 所 有 的 DNS 数据 文件 都 存放 在 此 目录 下 ， 注 意 此 目录 下 的 文 
件 所 属 的 组 应 为 named， 否 则 域名 服务 无 法 读 取 数据 文件 。 

dump-file: 当 执 行 导出 命令 时 将 DNS 服务 器 的 缓存 数据 存储 到 指定 的 文件 中 。 
statistics-file: 指定 named 服务 的 统计 文件 。 当 执行 统计 命令 时 ， 会 将 内 存 中 的 统计 
信息 追加 到 该 文件 中 。 

allow-query: 允许 那些 客户 端 可 以 访问 DNS 服务 ， 此 处 “any” 表 示 任 意 主机 。 
Zone: 每 一 个 zone 就 是 定义 一 个 域 的 相关 信息 及 指定 了 named 服务 从 哪些 文件 中 获 
得 DNS 各 个 域名 的 数据 文件 。 
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3. 编辑 DNS 数据 文件 /var/named/oa.com.zone 


该 文件 为 DNS 数据 文件 ， 可 以 配置 每 个 域名 指向 的 实际 IP， 此 文件 可 通过 复制 目录 
/varnamed 中 的 named.localhost 获得 模板 。 文 件 配置 内 容 如 【示例 3-35】 所 示 。 


【示例 3-35】 


下 面 说 明 各 个 参数 的 含义 : 


@ TTL: 表示 域名 缓存 周期 字段 ， 指 定 该 资源 文件 中 的 信息 存放 在 DNS 缓存 服务 器 的 
时 间 ， 此 处 设置 为 3600 秒 ， 表 示 超 过 3600 秒 则 DNS 缓存 服务 器 重新 获取 该 域名 的 
信息 。 

@  @: 表示 本 域 ，SOA 描述 了 一 个 授权 区 域 ， 如 有 oa.com 的 域名 请 求 将 到 ns.0a.com 
域 查找 。root 表示 接收 信息 的 邮箱 ， 此 处 为 本 地 的 root 用 户 。 

@ 。 serial: 表示 该 区 域 文 件 的 版 本 号 。 当 区 域 文件 中 的 数据 改变 时 ， 这 个 数值 将 要 改变 。 从 
服务 器 在 一 定时 间 以 后 请 求 主 服务 器 的 SOA 记录 ， 并 将 该 序列 号 值 与 缓存 中 的 SOA 记 
录 的 序列 号 相 比较 ， 如 果 数 值 改变 了 ， 从 服务 器 将 重新 拉 取 主 服务 器 的 数据 信息 。 

@ refresh: 指定 了 从 域名 服务 器 将 要 检查 主 域名 服务 器 的 SOA 记录 的 时 间 间 隔 ， 单 位 
为 秒 。 

@ retry: 指定 了 从 域名 服务 器 的 一 个 请 求 或 一 个 区 域 刷 新 失败 后 ， 从 服务 器 重新 与 主 服 
务 器 联系 的 时 间 间 隔 ， 单 位 是 秒 。 

@ expire: 指 在 指定 的 时 间 内 ， 如 果 从 服务 器 还 不 能 联系 到 主 服务 器 ， 从 服务 器 将 丢 去 
所 有 的 区 域 数据 。 

@ Minimum: 如 果 没有 明确 指定 TTL 的 值 ， 则 minimum 表示 域名 默认 的 缓存 周期 。 

@ A: 表示 主机 记录 ， 用 于 将 一 个 主机 名 与 一 个 或 一 组 卫 地 址 相对 应 。 

@ NS: 一 条 NS 记录 指向 一 个 给 定 区 域 的 主 域名 服务 器 ， 以 及 包含 该 服务 器 主机 名 的 
资源 记录 。 

@ CNAME: 用 来 将 一 个 域名 和 该 域名 的 别名 相关 联 ， 访 问 域名 的 别名 和 访问 域名 的 原 
始 名 字 将 解析 到 同样 的 主机 地 址 。 
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第 9~11 行 分 别 定 义 了 相关 域名 指向 的 IP 地 址 。 


默认 权限 可 能 会 阻止 bind 访问 oa.com.zone 文件 ， 因 由 root 用 户 使 用 命令 chgrp named 
oa.com.zone 修改 文件 所 属 的 用 户 组 。 


4. 启动 域名 服务 
启动 域名 服务 可 以 使 用 BIND 软件 提供 的 /etc/init.d/named 脚本 ， 如 【示例 3-36】 所 示 。 
【示例 3-36】 

lroot@CentOs Packages]# systemctl start named'service 


如 启动 失败 可 以 参考 屏幕 输出 定位 错误 内 容 ， 或 查看 /var/log/messages 的 内 容 ， 更 多 信息 
参考 系统 帮助 “man named.conf”。 


3.7.3 DNS 服务 测试 


经 过 上 一 节 的 步骤 ，DNS 服务 端 已 经 部 署 完毕 ， 客 户 端 需要 做 一 定 设置 才能 访问 域名 服 
务 器 ， 操 作 步 骤 如 下 。 


人 XI) 配置 /etc/resolv.conf。 


如 需 正 确 地 解析 域名 ， 客 户 端 需要 设置 DNS 服务 器 地 址 。DNS 服务 器 地 址 修改 如 【示例 
3-37】 所 示 。 


【示例 3-37】 


D02 域名 测试 。 
域名 测试 可 以 使 用 ping、nslookup 或 dig 命令 。 
【示例 3-38】 
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上 述 示例 说 明了 bbs.oa.com 成 功 解析 到 192.168.19.102。 
经 过 以 上 的 部 署 和 测试 演示 了 DNS 域名 系统 的 初步 功能 ， 要 了 解 更 进一步 的 信息 可 参考 
系统 帮助 或 其 他 资料 。 


3 了 .8 4 千 


目前 Linux 系统 主要 用 作 服 务 器 ,在 互联 网 时 代 ， 要 使 用 计算 机 就 离 不 开 网 络 。 本 章 主 要 
讲解 的 是 Linux 系统 的 网 络 配置 。 在 开始 配置 网 络 之 前 ， 介 绍 了 一 些 网 络 协议 和 概念 。 之 后 介 
绍 Linux 系统 中 的 网 络 配置 、Linux 内 核 防 火 墙 的 工作 原理 和 使 用 方法 ， 并 通过 一 些 实例 的 介 
绍 使 读者 可 以 掌握 iptables 的 使 用 方法 。 网 络 数据 采集 与 分 析 工 具 tcpdump 在 网 络 程序 的 调试 
过 程 中 具有 非常 重要 的 作用 ， 需 上 机 多 加 练习 。 
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对 于 Linux 系统 而 言 网 络 至 关 重 要 ， 这 是 因为 大 多 数 Linux 服务 器 都 依赖 于 网 络 。 而 数据 
包 在 网 络 中 从 主机 出 发 ， 经 过 传输 、 转 发 最 终 到 达 目 标 主机 所 依赖 的 是 网 络 中 的 路 由 器 。 路 由 
器 是 根据 路 由 条 目 转发 数据 包 , 因此 路 由 管理 的 实质 是 路 由 条 目 管理 。 路 由 管理 是 运 维 人 员 的 
重要 工作 之 一 ， 本 章 将 介绍 Linux 系统 中 的 路 由 管理 。 

本 章 涉及 的 主要 知识 点 有 : 


@ 路 由 的 基本 知识 
@ ”路 由 的 分 类 

@ 配置 Linux 路 由 
@ 策略 路 由 


4 认识 路 由 


路 由 不 仅 存 在 于 路 由 器 中 , 也 存在 于 操作 系统 中 , 不 仅 Linux 系统 有 , Windows 中 也 存在 。 
本 节 将 简单 介绍 路 由 的 概念 。 


4.1.1 路 由 的 基本 概念 

路 由 器 传递 数据 包 的 方法 与 现代 邮政 系统 工作 机 制 相似 , 先 按 行 政 区 域 划分 设立 邮局 。 如 
果 信 件 传递 仅 发 生 在 邮局 内 部 , 则 直接 分 拣 投递 即 可 , 例如 北京 市 东城 区 某 小 区 发 往 东 城区 另 
一 小 区 的 信件 , 只 需 在 东城 区 邮政 局 分 拣 投递 即 可 。 如 果 信 件 发 往外 埠 则 需要 借助 邮政 局 间 的 
运输 网 络 , 例如 由 北京 市 东城 区 发 往 四 川 省 成 都 市 成 华 区 的 邮件 , 则 需要 东城 区 邮政 局 将 邮件 
交 由 北京 市 邮政 局 , 再 由 北京 市 邮政 局 通过 运输 网 络 发 往 四 川 省 , 然后 层 层 下 发 直到 邮件 到 达 
收 件 人 手中 。 

数据 包 的 传递 过 程 与 邮政 系统 类 似 , 也 是 先 将 计算 机 分 组 划分 成 不 同 子 网 , 然后 通过 子 网 
间 的 路 由 器 传递 数据 包 ， 如 图 4.1 所 示 。 


192.168.1.1 192.168.2.1 


交换 机 MAC: E MAC: G Ne 学 
192.168.0.1 me pCg 
MAGD MOS: EH 1P:192.168.2.2 
216 MAC: C 
1P:192.168.0.2 
MAC: A 
PC2 
IP:192.168.0.3 
MAC: B 
图 4.1 子 网 拓扑 


在 图 4.1 中 共有 2 个 交换 机 和 路 由 器 及 3 台 计 算 机 , 共 包 含 192.168.0.0/24、192.168.1.0/24、 
192.168.2.0/24 3 个 子 网 ， 本 例 中 各 设置 的 IP 地 址 等 信息 均 已 在 图 中 。 需 要 特别 说 明 的 是 图 中 
所 示 的 MAC 地 址 正确 格式 应 为 “00-51-5B-C0-00-08” 或 “00:51:5B:C0:00:08” 此 处 为 方便 
说 明 简写 为 A、B、C 等 格式 。 

与 邮政 系统 类 似 , 当 数 据 包 发 送 的 目标 地 址 为 同一 子 网 时 , 数据 包 由 交换 机 直接 传送 给 目 
标 主机 。 例 如 当 PC1 发 送 数 据 包 给 PC2 时 , PC1 会 首先 发 送 ARP 广播 寻找 PC2 的 MAC 地 址 ， 
ARP 广播 会 发 送 给 子 网 192.168.0.0/24 中 的 所 有 计算 机 。 图 中 所 示 的 PC2 和 IP 地 址 为 
192.168.0.1 的 路 由 器 接口 均 会 收 到 广播 ， 但 只 有 PC2 会 回应 PC1 的 广播 并 将 其 MAC 地 址 反 
馈 给 PC1。 当 PC1 收 到 PC2 的 MAC 地 址 后 ， 将 目的 耳 、MAC 地 址 正确 写 入 数据 包 ， 然 后 交 
由 交换 机 发 送 给 PC2， 数 据 包 传输 过 程 完 成 了 。 

另 一 种 情况 是 PC1 发 送 的 数据 包 目 的 地 址 与 PC1 不 在 同一 子 网 时 ， 这 时 就 与 邮政 系统 类 
似 ，PC1 会 将 数据 包 交 给 自己 的 “上 级 ”默认 网 关 。 例 如 在 图 4.1 中 PC1 发 送 数 据 包 给 PC3， 
数据 包 发 送 过 程 如 下 : 


(1) 由 于 PC1 与 PC3 的 地 址 不 在 同一 子 网 ,因此 PC1 会 将 数据 包 的 MAC 地 址 修改 为 D 
发 送出 去 ， 交 换 机 会 将 数据 包 交 给 192.168.0.1， 即 路 由 器 。 

(2) 与 路 由 器 相连 的 网 络 分 别 为 192.168.0.0/24 和 192.168.1.0/24， 因 此 路 由 器 并 不 知道 
网 络 192.168.2.0/24 位 于 何 处 ， 此 时 就 需要 借助 路 由 条 目的 帮助 。 为 了 能 将 数据 包 成 功 发 往 
PC3， 路 由 器 中 就 需要 一 条 指向 192.168.2.0/24 的 路 由 条 目 ， 这 个 条 目 指明 数据 包 的 下 一 跳 地 
址 为 192.168.1.2。 

(3) 根据 路 由 条 目 指示 ， 路 由 器 会 将 数据 包 目 的 MAC 地 址 修改 为 下 将 数据 包 发 送 给 路 
由 器 2。 

(4) 路 由 器 2 与 192.168.2.0/24 直接 相 联 ， 因 此 收 到 数据 包 后 ， 路 由 器 2 会 将 目的 MAC 
修改 为 C 发 送 给 交换 机 ， 交 换 机 再 将 数据 包 交 给 PC3， 数 据 包 传输 完成 。 


纵 观 上 述 过 程 , 无 论 是 数据 包 发 送 给 默认 网 关 ， 还 是 由 一 个 路 由 器 发 送 给 另 一 个 路 由 器 ， 
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都 离 不 开路 由 的 参与 。 


4.1.2 路 由 的 原理 

在 4.1.1 节 中 介绍 了 路 由 的 基本 作用 ， 但 路 由 运作 的 机 制 比较 复杂 ， 本 小 节 将 简要 介绍 路 
由 的 基本 原理 。 

一 个 路 由 条 目 至 少 包含 3 个 要 素 : 子 网 , 子 网 掩 码 和 下 一 跳 地 址 (在 有 些 设备 中 使 用 的 是 
下 一 跳 设备 )， 其 主要 含义 如 下 : 


@ 子 网 : 目标 子 网 的 网 络 号 ， 默认 路 由 的 子 网 号 为 0.0.0.0。 

@ 子 网 掩 码 : 目标 子 网 的 子 网 掩 码 ， 默 认 路 由 的 子 网 掩 码 为 0.0.0.0。 

@ ”下 一 跳 地 址 : 目标 子 网 数据 包 的 转发 地 址 。 在 有 些 路 由 器 中 可 以 使 用 下 一 跳 设备 , 设 
备 通 常 是 本 地 接口 。 


通常 计算 机 中 会 有 多 条 路 由 条 目 ， 计 算 机 发 出 数据 包 时 会 进行 计算 ， 将 目标 IP 地 址 与 路 
由 条 目 中 的 子 网 掩 码 按 位 与 ， 即 二 进 制 按 位 做 乘法 。 如 果 按 位 与 的 结果 与 路 由 条 目的 子 网 相 
同 ， 则 采用 此 路 由 条 目的 下 一 跳 地 址 作为 转发 目的 地 。 例 如 在 图 4.1 中 ， 路 由 器 发 往 PC3 的 数 
据 包 地 址 为 192.168.2.2， 与 192.168.2.0/24 网 络 的 子 网 掩 码 按 位 与 的 结果 为 192.168.2.0， 与 子 
网 相同 ， 因 此 就 会 将 数据 包 转 发 给 192.168.1.2。 

无 论 是 计算 机 还 是 路 由 器 , 在 计算 路 由 时 都 遵循 精确 匹配 原则 , 即 如 果 多 条 路 由 条 目 都 匹 
配 目标 地 址 ， 则 使 用 最 精确 的 条 目 作 为 转发 路 径 。 例 如 IP 地 址 192.168.2.2 能 同时 匹配 
192.168.0.0/16 和 192.168.2.0/24， 但 基于 精确 匹配 原则 ， 最 终 将 使 用 192.168.2.0/24 这 条 路 由 
条 目 。 


4.1.3 ”Linux 系统 中 的 路 由 表 

在 计算 机 中 通常 不 止 一 个 路 由 条 目 , 能 正常 通信 的 计算 机 至 少 有 两 个 路 由 条 目 , 而 路 由 器 
中 的 路 由 条 目 可 能 会 更 多 。 这 些 路 由 条 目 存储 于 路 由 表 中 , 如 果 要 在 Linux 系统 中 查看 路 由 表 ， 
可 以 使 用 route 命令 ， 如 【示例 4-1】 所 示 。 


【示例 4-1】 


在 示例 4-1 中 ， 命 令 输 出 了 两 个 路 由 条 目 ， 第 一 条 是 指向 默认 网 关 的 默认 路 由 ， 第 二 条 是 
与 计算 机 直接 相连 的 子 网 路 由 。 命 令 输出 中 Flags 字段 中 的 U 表示 路 由 条 目 可 用 ，G 表示 正在 
使 用 的 网 关 。 
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4.1.4 静态 路 由 和 动态 路 由 


在 4.1.1 小 节 中 介绍 了 数据 包 如 何 从 PC1 发 送 到 PC3 的 整个 过 程 ， 当 数据 包 到 达 
192.168.0.1 后 ,路 由 器 将 会 计算 下 一 步 的 路 径 , 其 依据 就 是 路 由 器 中 保存 的 路 由 条 目 。 本 小 节 


将 介绍 这 些 路 由 条 目的 来 源 及 分 类 。 


路 由 的 来 源 有 三 种 ， 第 一 种 是 路 由 器 和 计算 机 根据 自身 的 网 络 连接 自动 生成 的 直 联 路 由 ， 
即 与 自身 所 在 同一 子 网 的 路 由 , 只 要 网 络 持续 连接 直 联 路 由 就 会 一 直 存 在 并 生效 ; 第 二 种 是 由 
管理 员 手 动 添加 的 静态 路 由 ,更 态 路 由 仅 适 合 于 网 络 运作 简单 的 环境 ，Linux 系统 中 添加 的 路 


由 多 为 静态 路 由 ; 最 后 一 种 是 由 动态 路 由 协议 生成 的 动态 路 由 。 


静态 路 由 的 缺点 很 明显 ， 当 路 由 器 数量 增加 时 ， 子 网 数量 也 增多 ， 这 时 就 需要 在 每 个 路 由 


器 上 为 每 个 子 网 添加 路 由 ， 和 否则 就 会 出 现 无 法 访问 的 问题 。 如 果 其 中 一 台 路 由 器 出 现 问题 ， 
由 条 目 就 会 失效 ， 也 会 造成 无 法 访问 的 问题 。 


路 


为 了 解决 静态 路 由 的 这 些 问 题 , 动态 路 由 协议 应 运 而 生 , 动态 路 由 协议 会 根据 网 络 状况 调 
整 各 路 由 器 的 路 由 条 目 , 最 大 程度 上 保持 网 络 通畅 。 常见 的 动态 路 由 协议 有 RIP、OSPF、BGP、 


IGRP 等 。 


(1) RIP (Routing Information Protocol， 路 由 信息 协议 ) 是 最 简单 的 路 由 协议 ，RIP 协议 
要 求 路 由 器 以 30 秒 为 周期 , 向 相 邻 的 路 由 器 交换 信息 ， 从 而 让 每 个 路 由 器 都 建立 路 由 表 。RIP 
建立 的 路 由 表 以 距离 为 单位 ， 通 过 一 个 路 由 器 称 为 一 跳 , RIP 总 是 希望 数据 包 通过 最 少 的 跳 数 
到 达 目 的 地 。RIP 最 大 的 优点 是 配置 简单 ， 但 仅 适 用 于 小 型 网 络 ， 如 果 跳 数 超过 15， 数 据 包 
将 不 可 达 。 由 于 路 由 器 每 30 秒 向 相 邻 路 由 器 交换 信息 , 因此 RIP 协议 的 收敛 时 间 相 对 较 长 ( 收 
敛 时 间 是 指 路 由 协议 让 每 个 路 由 器 建立 精确 并 稳定 的 路 由 表 的 时 间 长 度 , 时 间 越 长 , 网 络 发 生 


变化 后 ， 路 由 表 生 成 得 越 慢 ， 网 络 稳定 需要 的 时 间 也 越 长 )。 


(2) OSPF (Open Shortest Path First， 开 放 最 短路 径 优先 ) 是 一 个 相对 比较 复杂 的 动态 路 
由 协议 。OSPF 一 般 用 于 一 个 路 由 域内 ， 称 为 自治 系统 (Autonomous System )。 在 这 个 自治 系 
统 内 部 , 所 有 加 入 到 OSPF 的 路 由 器 都 会 通过 路 由 协议 相互 交换 信息 ,以 维护 自治 系统 的 结构 
数据 库 ， 最 后 路 由 器 会 通过 数据 库 计 算出 OSPF 路 由 表 。 与 RIP 相 比 ，OSPF 协议 根据 链 路 状 


态 计算 路 由 表 ， 更 适合 于 大 型 网 络 ， 其 收敛 速度 也 更 快 。 


(3) BGP (Border Gateway Protocol， 边 界 网 关 协 议 ) 是 一 个 用 来 处 理 自 治 系统 之 间 的 路 
由 关系 的 路 由 协议 ， 最 适合 处 理 像 Internet 这 样 十 分 巨大 的 网 络 。BGP 即 不 完全 是 距离 矢量 协 
议 ， 也 不 完全 像 OSPF 那样 使 用 链 路 状态 ，BGP 使 用 的 是 通路 向 量 路 由 协议 。BGP 使 用 TCP 
协议 进行 可 靠 的 传输 ， 同 时 还 使 用 了 路 由 汇聚 、 增 量 更 新 等 功能 ， 极 大 地 增加 了 网 络 可 靠 性 和 


(4) IGRP (Interior Gateway Routing Protocol， 内 部 网 关 路 由 协议 ) 是 由 Cisco 公司 设计 


的 专用 于 Cisco 设备 上 的 一 种 路 由 协议 。IGRP 是 一 种 距离 向 量 路 由 协议 ， 其 要 求 路 由 器 以 
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秒 为 周期 向 其 相 邻 的 路 由 器 发 送 路 由 表 的 全 部 或 部 分 ,由 此 区 域内 的 所 有 路 由 器 都 可 以 计算 出 
所 有 网 络 的 距离 。 由 于 使 用 网 络 延 迟 、 带 宽 、 可 靠 性 及 负载 等 都 被 用 作 路 由 选择 ， 因 此 IGRP 


的 稳定 性 相当 不 错 。 
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动态 路 由 协议 除了 上 面 介绍 的 4 种 之 外 ， 还 有 许多 例如 IS-IS 等 ， 此 处 不 再 獒 述 ， 感 兴趣 
的 读者 可 自行 参考 相关 资料 了 解 。 


4.2 配置 Linux 静态 路 由 


与 其 他 操作 系统 不 同 ，Linux 系统 作为 常见 的 服务 器 操作 系统 ， 其 可 能 会 遇 到 更 多 样 的 网 
络 环境 。 除 了 常见 服务 器 使 用 的 Internet 网 络 连接 外 ， 通 常 还 会 有 公司 内 部 网 络 ， 远 程 访 问 相 
关 的 网 络 等 ， 此 时 就 需要 正确 设置 路 由 ， 和 否则 就 无 法 正确 访问 。 本 节 将 简要 介绍 如 何在 Linux 
系统 中 设置 静态 路 由 。 


4.2.1 配置 网 络 接口 地 址 

设置 静态 路 由 的 前 提 是 网 络 接口 上 配置 有 IP 地 址 等 信息 ， 否 则 路 由 条 目 无 法 生效 。 在 网 
络 接口 上 配置 单个 IP 地 址 的 相关 知识 已 在 第 3 章 中 介绍 过 ， 此 处 介绍 如 何在 同一 接口 上 配置 
多 个 IP 地 址 的 方法 。 


(1) 使 用 子 接口 

使 用 子 接口 在 网 络 接口 上 配置 多 个 IP 地 址 是 一 个 比较 常见 的 做 法 ， 子 接口 名 字形 如 : 
eno16777736:1， 其 中 eno16777736 是 网 络 接口 的 名 称 ,“:1” 则 表示 这 是 一 个 子 接口 。 配 置 过 
程 如 【示例 4-2】 所 示 。 


【示例 4-2】 


使 用 以 上 命令 配置 的 子 接口 将 在 重启 后 消失 如 需要 重启 后 继续 生效 则 需要 将 上 述 命令 写 
入 文件 /etc/ec.local 中 。 


(2) 使 用 多 配置 
CentOS 7 允许 在 一 个 网 络 接 口上 配置 多 个 不 同 IP 地 址 、 子 网 掩 码 、 网 关 和 DNS 服务 器 
地 址 等 ， 但 同时 只 能 激活 一 个 配置 。 多 配置 在 图 形 界面 中 可 以 单 击 “Applications”， 然 后 在 弹 
出 的 菜 中 依次 单 击 “System tools”“Settings”， 打 开设 置 界面 ， 如 图 4.2 所 示 。 
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Settings | 
[al | 
Personal 
[lalla 
国 名 的 最 各 回 
Background Notifications Online Privacy Region & Search 
Accounts Language 
Hardware 
全 洲 国 = 由 罕 
Bluetooth Color Displays Keyboard Mouse & Network 
Touchpad 
喇 多 GO XZ 
Power Printers Sound Wacom Tablet 
System 
Date & Time Details Sharing Universal Users 
Access 


42 设置 界面 


在 设置 界面 中 可 以 找到 CentOS 7 中 几乎 所 有 的 常规 设置 ， 此 时 单 击 “Network” 弹 出 网 络 


设置 界面 ， 如 图 4.3 所 示 。 


六 


[| 
Airplane Mode CI 


Settings 


Network 


网 Unknown 


鲍 Network proxy 


人 -1000 Mb/s 2 
IPv4 Address 172.16.45.16 
IPv5 Address fe80;;20c:29ff;fe23;7cd2 
Hardware Address 00:0C;29;23;7C:D2 
Default Route 172.16.45.1 


DNS 172.16.1.9 61.139.2.69 


Add Profile... 闪 


4.3 网 络 设置 界面 


在 网 络 设 置 界 面 中 可 以 看 到 网 络 接口 相关 设置 ， 此 时 可 以 单 击 “Add Profile” 按 钮 为 已 连 
接 网 络 连接 添加 配置 文件 。 添 加 配置 文件 界面 如 图 4.4 所 示 。 
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New Profile 
Security 
IPv4 
Lo" | 
Addresses Automatic (DHCP) ~ 
IPv6 
DNS 
Server 伯 
+ 
Rout Automatice EM] 
Address 
Netmask 
Cancel Add 


图 4.4 添加 配置 文件 


在 新 配置 中 可 以 添加 诸如 802.1x、IPv4 等 类 型 网 络 ， 以 常见 的 IPv4 网 络 为 例 ， 可 以 在 左 
侧 选择 IPv4， 然 后 在 右 侧 的 “Addresses” 中 选择 “Manual”。 然 后 就 可 以 在 下 面 填 入 IP 地 址 、 
子 网 掩 码 、 网 关 、DNS、 静 态 路 由 等 信息 。 

多 次 添加 即 可 在 同一 个 网 络 连接 上 添加 多 个 配置 文件 , 这 些 配置 文件 可 以 在 网 络 设置 界面 
的 右 侧 看 到 ， 如 图 4.5 所 示 。 


Wired 
Connected - 1000 Mb/s EL) 


Profile 2 闪 
Profle 1 次 
eno16777736 v 益 


IPv4 Address 172.16.45.16 | 


s fe80:20c:29fffe23:7cd2 | 


5 00:0C:29:23:7C:D2 


Default Route 172.16.45.1 | 


DNS 172.16.1.9 61.139.2.69 


Add Profile... 


4.5 网 络 连接 的 多 配置 文件 


添加 了 多 配置 文件 后 , 接 下 来 的 任务 就 是 切换 配置 文件 让 不 同 的 配置 文件 在 不 同 的 网 络 环 
境 中 生效 。 切 换 配置 文件 需要 单 击 桌面 右上 角 的 联网 图 标 菜单 ， 将 弹出 所 有 的 配置 文件 列表 ， 
如 图 4.6 所 示 。 
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® eno16777736 


Profile 1 
Profile 2 


Network Settings 


4.6 网 络 配置 文件 列表 


此 时 只 需要 单 击 对 应 的 配置 文件 名 称 , 就 可 以 让 相应 的 配置 文件 生效 , 如 果 系 统 重启 则 采 
用 上 一 次 生效 的 配置 文件 。 


4.2.2 接口 IP 地 址 与 直 联 路 由 

无 论 使 用 哪 种 方式 为 网 络 接口 配置 IP 地 址 等 信息 ， 只 要 网 络 接口 接 入 某 个 子 网 ， 路 由 表 
都 会 立即 为 子 网 添加 相应 的 直 联 路 由 。 可 以 使 用 route 命令 查看 路 由 表 验 证 ， 如 【示例 4-3】 
所 示 。 


【示例 4-3】 


在 【示例 4-3】 的 命令 输出 中 第 二 条 就 是 与 172.16.45.0 子 网 的 直 联 路 由 ， 这 是 由 接口 
en016777736 的 IP 配置 决定 的 。 如 果 此 接口 的 IP 地 址 发 生变 化 或 有 新 的 接口 拥有 了 IP 地 址 ， 
路 由 表 中 的 直 联 路 由 也 会 发 生变 化 ， 如 【示例 4-4】 所 示 。 


【示例 4-4】 


由 以 上 示例 可 以 看 到 当 接 口 的 IP 地 址 发 生 改变 后 ， 路 由 表 中 的 直 联 路 由 也 发 生 了 改变 。 
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4.2.3 route 命令 


在 Linux 系统 中 ， 查 看 、 添 加 、 删 除 路 由 的 是 route 命令 。 其 添加 删除 路 由 时 的 基本 格式 
如 【示例 4-5】 所 示 。 


【示例 4-5】 
route addldell [rnetl-host] ipaddress1 netmask netmask gw ipaddress2ldev 
各 项 参数 含义 如 下 : 


addldel， 表 示 添 加 或 删除 一 个 路 由 条 目 。 

-net|-host: 路 由 条 目的 目的 地 是 一 个 子 网 或 一 台 主 机 。 

ipaddress1: 目标 子 网 的 子 网 号 或 目标 主机 的 IP 地 址 。 

netmask: 目标 子 网 或 主机 的 子 网 掩 码 ， 当 目标 为 主机 时 ， 子 网 掩 码 长 度 应 为 32 位 。 
gw: 用 于 指定 下 一 跳 地 址 或 下 一 跳 设 备 。 通 常 将 Linux 作为 一 台 路 由 器 使 用 时 才 会 
使 用 下 一 跳 设 备 。 


除 以 上 列举 的 参数 之 外 ， 还 有 一 个 用 于 显示 路 由 表 时 使 用 的 选项 n， 此 选项 表示 使 用 正 
地 址 显示 而 不 尝试 使 用 域名 。IP 地 址 转换 为 域名 需要 解析 ， 因 此 使 用 选项 n 可 以 快速 显示 路 
由 表 ， 如 【示例 4-6】 所 示 。 


【示例 4-6】 


【示例 4-6】 所 示 的 命令 输出 了 系统 内 核 的 路 由 表 ， 路 由 表 中 的 几 个 字段 含 义 如 下 : 


@ Destination: 目标 网 络 号 或 目标 主机 IP 地 址 ，default 表示 这 是 一 条 默认 路 由 。 

@ Gateway: 网 关 地 址 即 下 一 跳 地 址 ， 其 中 0.0.0.0 或 “*” 表 示 主 机 与 该 子 网 直接 相 联 
无 须 下 一 跳 地 址 ( 直 联 路 由 ) 。 

@ Genmask: 子 网 对 应 的 子 网 掩 码 。 

@ Flags: 路 由 标记 。 

@ 。 Metric: 路 由 条 目的 代价 值 。Metric 数值 越 高 代价 越 大 ， 此 值 一 般 在 有 多 条 到 目标 网 
络 的 路 由 时 才 起 作用 。 

@ Ref 路 由 条 目 被 引用 的 次 数 。 

@ Use: 路 由 条 目 被 路 由 软件 查找 的 次 数 。 

@ Iface: 到 达 目 标 网 络 使 用 的 本 地 接口 。 


在 上 面 的 字段 中 Flags 路 由 标记 用 于 指示 路 由 条 目的 状态 ,常见 的 状态 标记 及 含义 如 下 : 
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: 当前 路 由 处 于 活动 状态 (可 用 状态 ) 。 
: 路 由 条 目的 目标 是 主机 而 不 是 子 网 。 

: 指向 默认 网 关 的 路 由 。 

: 恢复 动态 路 由 产生 的 路 由 。 

: 由 后 台 程 序 动态 产生 的 。 

: 此 条 目 经 过 了 后 台 程 序 修改 。 

: 缓存 的 路 由 条 目 。 

!: 拒绝 路 由 。 


route 命令 还 可 以 用 于 添加 默认 路 由 (通常 称 为 默认 网 关 )， 但 更 多 的 是 用 于 添加 静态 路 
使 用 方法 如 【示例 4-7】 所 示 。 


人 


【示例 4-7】 
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4.2.4 Linux 路 由 器 配置 实例 

学 习 完 之 前 的 基本 知识 之 后 , 可 以 利用 Linux 来 制作 一 个 路 由 器 。 本 小 节 将 简单 介绍 路 由 
器 包括 的 功能 及 如 何 将 Linux 配置 成 一 个 实用 的 路 由 器 。 

一 个 实用 的 路 由 器 最 起 码 应 该 包括 DHCP、 数 据 包 转发 、NAT 等 ，DHCP 用 来 为 子 网 中 
的 计算 机 分 配 了 地 址 、 网 关 、DNS 等 信息 ; 数据 包 转 发 是 路 由 器 的 核心 功能 ， 用 来 将 数据 包 
准确 地 转发 到 相应 的 子 网 ，NAT 功能 用 来 作 地 址 转换 ， 即 将 子 网 发 往外 部 网 络 的 数据 包 地 址 
作 转 换 。 在 Linux 系统 上 配置 路 由 器 可 以 采取 两 个 方案 ， 其 一 是 使 用 Linux 自身 的 内 核 转发 功 
能 、 配 置 DHCP 服务 并 使 用 防火 墙 的 地 址 伪装 作 NAT 功能 ; 其 二 是 使 用 其 他 路 由 软件 ， 例 如 
著名 的 Zebra 等 。 本 小 节 将 采用 Linux 内 核 的 数据 包 转 发 功能 作为 示例 讲解 。 

在 本 节 的 路 由 器 配置 中 ， 采 用 的 拓扑 图 如 图 4.7 所 示 ， 路 由 器 的 一 端 连 接 子 网 
192.168.0.0/24。 


TP:172.16.45.135 


外 部 网 络 路 由 器 AN 
4.7 路 由 拓扑 
在 开始 配置 路 由 器 之 前 ， 需 要 先 为 路 由 器 和 子 网 计算 机 上 的 网 络 连 接 正确 配置 IP 地 址 ， 


确保 路 由 器 能 正常 访问 外 部 网 络 。 配 置 子 网 计算 机 时 ， 默 认 网 关 应 该 为 192.168.0.1。 配 置 完 
IP 地 址 后 ， 接 下 来 需要 配置 内 核 转发 ， 让 内 核 具 有 转发 数据 包 的 功能 ， 如 【示例 4-8】 所 示 。 


【示例 4-8】 


这 样 Linux 就 具备 了 数据 包 转 发 功能 ， 接 下 需要 让 Linux 防火 墙 具 备 NAT 功能 ， 这 个 功 
能 通常 由 防火 墙 iptables 来 完成 ， 如 【示例 4-9】 所 示 。 


【示例 4-9】 


接 下 来 就 可 以 在 子 网 计算 机 上 访问 外 部 网 络 了 ， 可 以 通过 ping 命令 、curl 访问 网 址 等 方 
式 验 证 。 


由 于 本 书 的 第 3 章 已 介绍 过 DNS、DHCP 等 知识 ， 此 处 不 再 著述 ， 读 者 可 自行 参考 相关 
资料 配置 。 


外 .3 Linux 的 策略 路 由 


传统 的 路 由 是 一 个 指向 目标 子 网 的 “ 指 路 牌 ”任何 人 来 “ 问 路 ” 路 由 都 会 明确 指向 目标 。 
传统 路 由 这 种 “不 问 来 人 情况 ”的 处 理 策略 越 来 越 不 适合 现代 计算 机 网 络 ， 举 例 来 说 “行人 与 
汽车 ” 走 的 “路 ”应 该 是 不 同 的 。 这 样 策略 路 由 就 兴起 了 ， 策 略 路 由 是 近 些 年 来 兴起 的 一 个 比 
较 新 的 路 由 概念 。 策 略 路 由 可 以 根据 多 种 不 同 的 策略 ， 决 定数 据 包 通过 的 路 径 。 本 节 将 简要 介 
绍 Linux 系统 中 的 路 由 及 策略 路 由 的 使 用 。 


4.3.1 策略 路 由 的 概念 

并 不 是 所 有 环境 都 适合 策略 路 由 , 首先 策略 路 由 与 传统 路 由 相 比 最 大 的 不 同 是 , 策略 路 由 
通常 有 不 止 一 条 到 达 目 的 网 络 的 路 径 , 例如 在 一 个 网 络 中 有 两 个 出 口 联通 和 电信 等 。 因此 策略 
路 由 在 企业 的 实施 环境 首要 条 件 网 络 有 多 个 出 口 ， 例 如 一 电信 一 联通 ， 又 如 一 出 口 速度 较 快 ， 
另 一 出 口 速度 相对 更 慢 一 些 等 。 

策略 路 由 按 实 现 的 方式 大 体 可 以 分 为 三 类 , 第 一 种 是 按 目的 地 址 进行 路 由 , 即 根据 目的 地 
不 同 选择 不 同 的 出 口 。 由 于 这 种 按 目 的 地 址 进行 路 由 的 方法 特别 适合 做 双 线 服务 器 , 因此 在 国 
内 使 用 的 较 多 。 第 二 种 是 按 源 地 址 进行 路 由 , 即 根据 发 出 数据 包 的 计算 机 地 址 决定 选择 哪个 出 
口 ,这 种 方法 适用 于 多 种 环境 , 例如 多 线 机 房 ， 客 户 定制 的 更 快速 的 网 络 等 。 第 三 种 是 智能 均 
衡 策略 路 由 ， 这 是 一 种 出 现时 间 较 晚 的 方式 , 在 这 种 方式 下 ,会 自动 识别 网 络 带宽 及 负载 ， 根 
据 带宽 和 负载 动态 地 决定 数据 包 从 哪个 出 口 发 出 。 

无 论 使 用 何 种 策略 路 由 ， 都 必须 注意 保护 连接 的 持续 性 ， 特 别 是 在 出 口上 使 用 了 NAT 的 
网 络 中 。 即 需要 保证 内 部 网 络 主机 与 外 部 通信 时 ， 数 据 包 的 往返 都 使 用 的 是 同一 出 口 ， 否 则 可 
能 会 造成 资源 浪费 甚至 无 法 连接 的 情况 出 现 。 
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4.3.2 ”路 由 表 管 理 

在 Linux 系统 中 ,策略 路 由 可 以 通过 路 由 表 来 实现 , 但 Linux 系统 中 的 路 由 表 并 不 像 普通 
路 由 器 那样 简单 ， 本 小 节 将 介绍 Linux 系统 中 的 路 由 表 。 

默认 情况 下 Linux 并 非 只 有 一 个 路 由 表 ， 因 为 如 果 系 统 中 只 有 一 个 路 由 表 , 策略 路 由 的 许 
多 功能 将 无 法 实现 。 数据 包 转 发 时 , 并 不 需要 将 所 有 路 由 表 都 搜索 计算 一 次 , 数据 包 应 该 使 用 
哪个 路 由 表 路 由 ， 取 决 于 系统 设 定 的 规则 。 查 看 系统 默认 的 规则 使 用 命令 “ip rule list” 或 “ip 
rule show” 如 【示例 4-10】 所 示 。 


【示例 4-10】 


【示例 4-10】 展 示 的 是 没有 经 过 修改 的 Linux 系统 规则 列表 ， 这 其 中 输出 了 3 个 路 由 表 
local、main 及 default。 每 条 规则 前 面 的 数字 表示 规则 的 优先 级 ， 数 值 越 小 表明 优先 级 越 高 ， 
而 “from all” 表 明 所 有 的 数据 包 都 需要 经 过 路 由 表 的 匹配 。 

由 此 可 以 看 出 【示例 4-10】 所 示 的 处 理 过 程 应 该 是 ， 内 核 转发 的 数据 包 先 使 用 表 local 转 
发 ， 如 果 没 有 匹配 的 路 由 条 目 再 依次 使 用 表 main 和 default。 为 了 搞 清 Linux 系统 数据 包 的 转 
发 流程 ， 有 必要 搞 清 这 三 张 路 由 表 的 内 容 ， 如 【示例 4-11】 所 示 。 


【示例 4-11】 


【示例 4-11】 分别 输 出 了 3 张 路 由 表 中 的 路 由 条 目 ， 其 中 表 default 中 的 路 由 条 目 为 空 ， 
此 处 不 作 讨 论 。 由 于 计算 机 的 卫 地 址 为 172.16.45.13， 因 此 表 local 中 的 路 由 条 目 为 来 自 广播 
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和 目的 地 为 本 地 接口 IP 的 数据 包 路 由 。 而 表 main 中 的 路 由 条 目 ， 很 明显 是 指向 本 地 子 网 ( 即 
子 网 172.16.45.0/24) 和 指向 默认 网 关 的 默认 路 由 。 

由 于 环境 并 不 复杂 ， 系 统 默认 的 规则 中 并 没有 决定 哪些 数据 包 应 该 使 用 具体 的 某 个 路 由 
表 。 但 了 解 Linux 系统 的 路 由 表 机 制 后 ， 接 下 来 我 们 就 可 以 利用 这 些 机 制 建立 自己 需要 的 路 由 
表 和 规则 。 建 立 一 个 路 由 表 和 相应 的 规则 如 【示例 4-12】 所 示 。 


【示例 4-12】 


在 【示例 4-12】 中 ， 先 使 用 编辑 rt_tables 的 方式 添加 了 一 个 名 为 testl 的 路 由 表 ， 然 后 添 
加 了 一 条 规则 ， 规 定 所 有 源 地 址 为 192.168.19.0/24 的 包 通 过 testl 路 由 表 路 由 。 由 于 我 们 并 没 
有 向 路 由 表 testl 中 添加 任何 路 由 条 目 ， 因 此 此 时 路 由 表 testl 还 为 空 ， 如 何 添加 将 在 下 个 小 节 
中 介绍 。 

添加 testl 路 由 表 时 , 使 用 了 数字 100 作为 保留 值 (保留 值 为 table ID, testl 相当 于 table ID 
的 别名 ， 此 值 与 优先 级 无 关 ， 优 先 级 将 自动 分 配 )， 通 常 建议 这 个 值 小 于 253 且 不 重复 ， 有 具体 
可 以 查看 rt_tables 文件 中 的 说 明 。 除 了 以 上 这 种 编辑 文件 的 方法 外 ， 还 可 使 用 指定 table ID 的 
方法 添加 路 由 表 ， 如 【示例 4-13】 所 示 。 


【示例 4-13】 


以 上 示例 将 添加 一 个 table ID 为 2 的 路 由 表 ， 并 指定 其 优先 级 为 1500。 
删除 路 由 表 与 以 上 过 程 相 反 ， 首 先 需要 删除 相关 的 规则 ， 然 后 再 编辑 文件 rt_tables， 删 除 
其 中 的 相关 配置 ， 如 【示例 4-14】 所 示 。 


【示例 4-14】 
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画 系统 重启 后 ， 规 则 将 失效 ， 如 需 继续 生效 可 以 将 设置 规则 的 相关 语句 写 入 /etc/re.local 中 。 


4.3.3 ”规则 与 路 由 管理 

从 前 面 几 个 小 节 的 介绍 中 不 难看 出 ，Linux 策略 路 由 管理 的 两 个 核心 分 别 是 规则 与 路 由 表 
中 路 由 的 管理 。 虽然 之 前 已 经 介绍 过 路 由 管理 的 相关 概念, 但 与 之 前 的 路 由 管理 相 比 ,此 处 将 
要 麻烦 一 些 ， 因 为 在 策略 路 由 中 还 需要 细 化 一 些 参数 。 

1. 规则 


在 策略 路 由 中 ， 规 则 如 同一 个 筛选 器 ， 将 数据 包 按 预先 的 设置 “ 送 给 ”路 由 表 ， 完 成 路 由 
过 程 。 添 加 一 条 规则 使 用 命令 ip， 格式 如 下 : 


在 以 上 格式 中 ，“[addldell]” 表 示 添 加 或 删除 一 条 规则 ，“SELECTOR ”表示 数据 包 选 择 
部 分 “ACTION ”表示 执行 的 操作 。 其 中 “SELECTOR” 可 以 选择 数据 包 的 多 种 选项 ， 常 见 
选项 如 下 所 示 : 

@ from: 源 地 址 。 
to: 目的 地 址 。 
tos: 数据 包 的 TOS (Type of Service ) 域 ， 用 于 标明 数据 包 的 用 途 。 
fwmark: 防火 墙 参数 。 
dev: 参与 设备 ， 具 体 包 括 两 个 选项 iif 和 oif， 分 别 表示 接收 和 发 送 设 置 匹配 。 

@ pref: 指定 优先 级 。 


在 以 上 选项 中 ， 无 疑 from 和 to 是 最 常用 的 选项 。 除 以 上 选项 外 ， 还 有 一 些 其 他 选项 ， 读 
者 可 阅读 相关 文档 了 解 或 参考 ip-rule 的 手册 页 。 
与 “SELECTOR” 一 样 ,“ACTION” 执 行 的 动作 也 有 多 种 : 


@ table: 指明 使 用 的 table ID 或 表 名 。 

nat: 透明 网 关 ， 同 NAT 相似 。 

prohibit: 丢弃 包 并 返回 “Communication is administratively prohibited” 的 错误 消息 。 
unreachable: 丢弃 包 并 返回 “Network is unreachable” 的 错误 消息 。 

realms: 指定 数据 包 分 类 ， 此 选项 主要 用 于 配合 tc 作 流量 整形 。 
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“ACTION ”执行 的 动作 中 ，table 和 nat 是 最 常用 的 ，prohibit 和 unreachable 主要 用 来 禁 
止 通信 ， 因 此 使 用 较 少 。 
在 【示例 4-15】 中 列举 了 一 些 常见 的 示例 。 


【示例 4-15】 


2. 路 由 管理 


与 之 前 介绍 的 使 用 route 命令 添加 路 由 相 比 ， 策 略 路 由 的 路 由 管理 稍稍 复杂 一 些 ， 其 格式 
如 下 所 示 : 


其 中 ipaddress 参数 表示 网 络 号 ，via 选项 指定 的 参数 ipaddress1 表示 网 关 ip 地 址 ， 即 下 一 
跳 地 址 ，table_name 表示 路 由 表 名 。 
一 些 比较 常见 的 路 由 条 目 如 【示例 4-16】 所 示 。 


【示例 4-16】 


4.3.4 策略 路 由 应 用 实例 

在 前 面 几 个 小 节 中 , 介绍 了 Linux 系统 的 策略 路 由 的 运作 机 制 ， 本 小 节 将 通过 几 个 实例 介 
绍 策略 路 由 的 应 用 。 

在 本 小 节 的 例子 中 ，Linux 主机 连接 了 两 个 子 网 :192.168.1.0/24 及 192.168.2.0/24， 拥 有 
两 个 出 口 : 第 一 个 是 172.16.33.2， 对 端 网 关 为 172.16.33.1; 另 一 个 为 172.16.34.2， 对 端 网 关 为 
172.16.34.1， 如 图 4.8 所 示 。 

需要 说 明 的 是 出 口 及 对 端 网 关 地 址 应 为 网 络 供应 商 提供 的 公 网 IP 地 址 ， 此 处 出 于 安全 考 
虑 以 私 网 地 址 代 蔡 ， 其 配置 过 程 仅 需 将 IP 地 址 等 信息 替换 即 可 ， 其 他 并 无 不 同 之 处 。 
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互联 网 出 口 1，eno16777736 
ip: 172.16.33.2 
对 端 网 关 : 172.16.33.1 


内 部 子 网 接口 1: eno50332208 
ip: 192.168.1.1 


内 部 子 网 司 员 


互联 网 出 口 2，eno33554984 
ip: 172.16.34.2 
对 端 网 关 ; 172.16.34.1 


内 部 子 网 接口 2，eno67109432 
ip: 192.168.2.1 


图 4.8 策略 路 由 拓扑 
1. 选择 出 口 
如 图 4.8 所 示 网 络 结构 ， 现 有 两 个 出 口 ， 其 中 互联 网 出 口 1 为 所 有 内 部 子 网 的 默认 出 口 ， 
出 口 2 比 出 口 1 速度 更 快 ， 但 仅 供 内 部 网 络 中 的 VIP 用 户 使 用 。 现 假定 有 VIP 用 户 的 IP 地 址 


为 : 192.168.1.52 和 192.168.2.54, 现 需 要 配置 这 两 个 地 址 的 流量 , 使 用 出 口 2 以 获得 更 快 的 速 
度 。 


(1) 配置 默认 路 由 

根据 以 上 信息 先 配置 接口 eno016777736, 将 IP 地 址 ， 默 认 网 关 等 信息 一 并 设置 ， 而 出 口 2 
仅 正确 设置 IP 地 址 及 子 网 掩 码 即 可 ， 无 须 设置 默认 网 关 。 关 于 这 些 设 置 读者 可 自行 参考 第 3 
章 中 的 相关 内 容 ， 此 处 不 再 效 述 。 


(2) 配置 策略 路 由 
在 上 一 步 配 置 中 已 将 所 有 子 网 的 数据 包 的 转发 出 口 设 置 为 出 口 1, 现在 需要 配置 VIP 用 户 
的 数据 包 从 出 口 2 进行 转发 ， 其 配置 方法 如 【示例 4-17】 所 示 。 


【示例 4-17】 
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以 上 是 整个 配置 过 程 , 但 以 上 配置 在 系统 重启 后 会 消失 ， 因 此 需要 添加 规则 ， 将 添加 路 由 
表 T1 默认 路 由 的 语句 写 入 /etc/rc.local 中 。 


2. 负载 均衡 


负载 均衡 的 配置 方法 与 选择 出 口 的 配置 方法 略 有 不 同 , 因为 负载 均衡 时 需要 考虑 一 个 新 的 
问题 ， 需 要 保证 连接 的 持续 性 。 即 从 互联 网 出 口 1 进来 的 数据 包 返 回 时 也 从 出 口 1 返回 ; 出 口 
2 亦 相同 。 负 载 均衡 的 配置 方法 如 【示例 4-18】 所 示 。 


【示例 4-18】 


在 上 面 的 示例 中 ，weight 用 于 指定 出 口 的 权重 ， 此 处 都 设置 为 1 表示 平等 对 待 ， 如 果 需 要 
区 别 对 待 可 以 修改 此 值 。 与 之 前 的 设置 方法 相同 ， 如 果 需 要 设置 在 重启 后 仍然 生效 ， 可 以 将 规 
则 和 路 由 添加 到 文件 /etc/rc.local 中 。 


本 小 节 仅 讨论 了 策略 路 由 如 何 实施 ， 并 没有 包含 诸如 NAT 等 问题 ， 关 于 路 由 器 转发 相关 
内 容 可 参考 4.2 节 中 的 相关 内 容 。 
人 .4 4 千 


路 由 是 Linux 系统 中 相当 重要 的 内 容 , 本 章 从 实际 应 用 出 发 主要 介绍 了 Linux 系统 的 路 由 
相关 内 容 ， 通 过 实例 介绍 了 传统 路 由 的 设置 ， 数据 包 转 发 等 内 容 。 对 于 Linux 上 的 策略 路 由 问 
题 ， 剖 析 了 Linux 策略 路 由 的 运作 机 制 ， 并 通过 实例 介绍 了 策略 路 由 的 应 用 。 
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类 似 Windows 中 的 网 络 共享 功能 ，Linux 系统 也 提供 了 多 种 网 络 文件 共享 方法 ， 常见 的 有 
NFS、Samba 和 FTP。 

本 章 首先 介绍 网 络 文件 系统 NFS 的 安装 与 配置 ， 然 后 介绍 文件 服务 器 Samba 的 安装 与 设 
置 ， 最 后 介绍 常用 的 FTP 软件 的 安装 与 配置 。 通 过 本 章 ， 用 户 可 以 了 解 Linux 系统 中 常见 的 
几 种 网 络 文件 共享 方式 。 

本 章 主要 涉及 的 知识 点 有 : 


@ _ NFS 的 安装 与 使 用 
@ ”Samba 的 安装 与 使 用 
@ FTP 软件 的 安装 与 使 用 


与 . 1 网 络 文件 系统 ( NFS ) 


NFS (Network File System 的 简称 ， 即 网 络 文件 系统 ) 是 一 种 分 布 式 文件 系统 ， 人 允许 网 络 
中 不 同 操作 系统 的 计算 机 间 共 享 文件 ， 其 通信 协议 定 基于 TCP/IP 协议 层 ， 可 以 将 远程 的 计算 
机 磁盘 挂 载 到 本 地 ， 读 写 文件 像 本 地 磁盘 一 样 操作 。 


5.1.1 _ NFS 简介 

NFS 在 文件 传送 或 信息 传送 过 程 中 依赖 于 RPC (Remote Procedure Call) 协议 。RPC 协议 
可 以 在 不 同 的 系统 间 使 用 ， 此 通信 协议 设计 与 主机 及 操作 系统 无 关 。 使 用 NFS 时 用 户 端 只 需 
使 用 mount 命令 就 可 把 远程 文件 系统 挂 接 在 自己 的 文件 系统 之 下 ， 操 作 远程 文件 如 使 用 本 地 
计算 机 上 的 文件 一 样 。NFS 本 身 可 以 认为 是 RPC 的 一 个 程序 。 只 要 用 到 NFS 的 地 方 都 要 启动 
RPC 服务 ， 不 论 是 服务 端 还 是 客户 端 ，NFS 是 一 个 文件 系统 ， 而 RPC 负责 信息 的 传输 。 

例如 在 服务 器 上 ， 要 把 远程 服务 器 192.168.3.101 上 的 /nfsshare 挂 载 到 本 地 目录 可 以 执行 
如 下 命令 : 


当 挂 载 成 功 后 ， 本 地 上/nfsshare 目录 下 如 果 有 数据 ， 则 原 有 的 数据 都 不 可 见 ， 用 户 看 到 的 


是 远程 主机 192.168.3.101 上 面 的 /nfsshare 目录 文件 列表 。 


5.1.2 配置 NFS 服务 器 
NFS 的 安装 需要 两 个 软件 包 ， 通 常情 况 下 是 作为 系统 的 默认 包 安 装 的 ， 版 本 因为 系统 的 
不 同 而 不 同 。 


®@ nfs-utils-1.3.0-0.el7.x86_64.rpm 包含 一 些 基本 的 NFS 命令 与 控制 脚本 。 
@ rpcbind-0.2.0-23.e1l7.x86_64.rpm 是 一 个 管理 RPC 连接 的 程序 ， 类 似 的 管理 工具 为 
portmap 。 


安装 方法 如 【示例 5-1】 所 示 。 


【示例 5-1】 


在 安装 好 软件 之 后 ， 接 下 来 就 可 以 配置 NFS 服务 器 了 ， 配 置 之 前 先 了 解 下 NFS 主要 的 文 
件 和 进程 。 


(1) nfs 有 的 发 行 版 名 字 叫 做 nfsserver， 主 要 用 来 控制 NFS 服务 的 启动 和 停止 ， 安 装 完 
毕 后 位 于 /etc/init.d 目录 下 。 

(2) rpcnfsd 是 基本 的 NFS 守护 进程 ， 主 要 功能 是 控制 客户 端 是 否 可 以 登录 服务 器 ， 另 
外 可 以 结合 /etc/hosts.allow 和 /etc/hosts.deny 做 更 精细 的 权限 控制 。 


99 


CentOS 7 系统 管理 与 运 维 实战 


(3) rpc.mountd 是 RPC 安装 守护 进程 ， 主 要 功能 是 管理 NFS 的 文件 系统 。 通 过 配置 文 
件 共享 指定 的 目录 ， 同 时 根据 配置 文件 做 一 些 权限 验证 。 

(4) rpcbind 是 一 个 管理 RPC 连接 的 程序 ，rpcbind 服务 对 NFS 是 必需 的 ， 因 为 是 NFS 
的 动态 端口 分 配 守护 进程 ， 如 果 rpcbind 不 启动 ，NFS 服务 则 无 法 启动 。 类 似 的 管理 工具 为 
portmap。 

(5) exportfs 如 果 修 改 了 /etc/exports 文件 后 不 需要 重新 激活 NFS， 只 要 重新 扫描 一 次 
/etc/exports 文件 ， 并 且 重 新 将 设 定 加 载 即 可 。exportfs 参数 说 明 如 表 5.1 所 示 。 


表 5.1 exportfs 命令 常用 参数 说 明 


参数 。 说明 
| -。 | 全 部 挂 载 /etc/exports 文件 内 的 设置 
重新 挂 载 /etc/exports 中 的 设置 
| 全 载 某 -上 录 


| -。 | 印 载 某 一 目录 
在 export 时 将 共享 的 目录 显示 在 屏幕 上 


(6) showmount 显示 指定 NFS 服务 器 连接 NFS 客户 端的 信息 ， 常 用 参数 如 表 5.2 所 示 。 
表 5.2 ”showmount 命令 常用 参数 说 明 


参数 ”说 明 


| -。 | 列 出 NFS 服务 共享 的 完整 目录 信息 


| a | 仅 列 出 客户 机 远程 安装 的 目录 
| 显示 导出 目录 的 了 表 | 


显示 导出 目录 的 列表 


配置 NFS 服务 器 首先 需要 确认 共享 的 文件 目录 和 权限 及 访问 的 主机 列表 ， 这 些 可 通过 
/etc/exports 文件 配置 。 一 般 系 统 都 有 一 个 默认 的 exports 文件 ， 可 以 直接 修改 。 如 果 没 有 ， 可 
创建 一 个 ， 然 后 通过 启动 命令 启动 守护 进程 。 

1. 配置 文件 /etc/exports 

要 配置 NFS 服务 器 ， 首 先 就 是 编辑 /etc/exports 文件 。 在 该 文件 中 ， 每 一 行 代表 一 个 共享 
目录 ， 并 且 描 述 了 该 目录 如 何 被 共享 。exports 文件 的 格式 和 使 用 如 【示例 5-2】 所 示 。 

【示例 5-2】 


#< 共 享 目录 > [客户 端 1 选项 ] [客户 端 2 选项 ] 
/nfsshare *(rw,all squash,sync,anonuid=1001,anongid=1000) 


每 行 一 条 配置 ， 可 指定 共享 的 目录 ， 人 允许 访问 的 主机 及 其 他 选项 设置 。 上 面 的 配置 说 明 
在 这 台 服 务 器 上 共享 了 一 个 目录 /nfsshare， 参 数 说 明 如 下 : 


@ 共享 目录 : 是 指 NFS 系统 中 需要 共享 给 客户 端 使 用 的 目录 。 
@ 客户 端 : 是 指 网 络 中 可 以 访问 这 个 NFS 共享 目录 的 计算 机 。 


客户 端 常 用 的 指定 方式 : 
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指定 ip 地 址 的 主机 : 192.168.3.101 

指定 子 网 中 的 所 有 主机 : 192.168.3.0/24 192.168.0.0/255.255.255.0 
指定 域名 的 主机 : www.domain.com 

指定 域 中 的 所 有 主机 : *.domain.com 

所 有 主机 : * 


语法 中 的 选项 用 来 设置 输出 目录 的 访问 权限 、 用户 映射 等 NFS 常用 的 选项 如 表 5.3 所 示 。 
表 5.3 ”NFS 常用 选项 说 明 


市 eeeee 


参数 说 明 

ro 该 主机 有 只 读 的 权限 

Iw 该 主机 对 该 共享 目录 有 可 读 可 写 的 权限 

all_squash 将 远程 访问 的 所 有 普通 用 户 及 所 属 组 都 映射 为 匿名 用 户 或 用 户 组 ， 相 当 于 使 用 nobody 


用 户 访问 该 共享 目录 。 注 意 此 参数 为 默认 设置 

no _all squash 与 all_squash 取 反 ， 该 选项 默认 设置 

root squash 将 root 用 户 及 所 属 组 都 映射 为 匿名 用 户 或 用 户 组 ， 为 默认 设置 
no_root squash | 与 rootsquash 取 反 


anonuid 将 远程 访问 的 所 有 用 户 都 映射 为 匿名 用 户 ， 并 指定 该 用 户 为 本 地 用 户 
anongid 将 远程 访问 的 所 有 用 户 组 都 映射 为 匿名 用 户 组 账户 ， 并 指定 该 匿名 用 户 组 账户 为 本 地 用 
户 组 账户 
Sync 将 数据 同步 写 入 内 存 缓冲 区 与 磁盘 中 ， 效 率 低 ， 但 可 以 保证 数据 的 一 致 性 
async 将 数据 先 保存 在 内 存 缓冲 区 中 ， 必 要 时 才 写 入 磁盘 
exports 文件 的 使 用 方法 如 【示例 5-3】 所 示 。 
【示例 5-3】 


/nfsshare *.*(rw) 


该 行 设置 表示 共享 /nfsshare 目录 ， 所 有 主机 都 可 以 访问 该 目录 ， 并 且 都 有 读 写 的 权限 ， 客 
户 端 上 的 任何 用 户 在 访问 时 都 映射 成 nobody 用 户 。 如 果 客 户 端 要 在 该 共享 目录 上 保存 文件 ， 
则 服务 器 上 的 nobody 用 户 对 /nfsshare 目录 必须 要 有 写 的 权限 。 

【示例 5-4】 


/nfsshare2 192.168.19.0/255.255.255.0 
(rw,all_squash,anonuid=1001,anongid=100) 192.168.32.0/255.255.255.0 (ro) 


该 行 设置 表示 共享 /nfsshare2 目录 ，192.168.19.0/24 网 段 的 所 有 主机 都 可 以 访问 该 目录 ， 
对 该 目录 有 读 写 的 权限 ， 并 且 所 有 的 用 户 在 访问 时 都 映射 成 服务 器 上 的 uid 为 1001、gid 为 
100 的 用 户 ; 192.168.32.0/24 网 段 的 所 有 主机 对 该 目录 有 只 读 访 问 权 限 ， 并 且 在 访问 时 所 有 的 
用 户 都 影射 成 nobody 用 户 。 
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2. 启动 服务 


配置 好 服务 器 之 后 ， 要 使 客户 端 能 够 使 用 NFS， 必 须要 先 启动 服务 。 启 动 过程 如 【示例 
5-5】 所 示 。 


【示例 5-5】 


NFS 服务 由 5 个 后 台 进程 组 成 ， 分 别 是 rpc.nfsd、rpclockd、rpc.statd、rpc.mountd、 
rpc.rquotad。rpc.nfsd 负责 主要 的 工作 ; rpc.lockd 和 rpc.statd 负责 抓 取 文件 锁 ; rpc.mountd 负 
责 初 始 化 客户 端的 mount 请 求 ， rpc.rquotad 负责 对 客户 文件 的 磁盘 配额 限制 。 这 些 后 台 程序 
是 nfs-utils 的 一 部 ， 如 果 是 使 用 的 RPM 包 ， 它 们 存放 在 /usrsbin 目录 下 。 

大 多 数 的 发 行 版 本 都 会 带 有 NFS 服务 的 启动 脚本 ， 在 CentOS 7 之 前 的 版 本 中 ， 要 启动 
NFS 服务 ， 执 行 /ete/init.d/nfs start 即 可 。 而 在 CentOS 7 中 由 于 系统 框架 的 改变 ， 我 们 可 以 使 
用 systemectl 启动 ， 也 可 以 使 用 service nfs-server start 启动 。 


3. 确认 NFS 是 否 已 经 启动 


可 以 使 用 rpcinfo 命令 来 确认 ， 如 果 NFS 服务 正常 运行 ， 应 该 有 下 面 的 输出 ， 如 【示例 
5-6】 所 示 。 


【示例 5-6】 


从 上 述 结果 可 以 看 出 NFS 服务 已 经 启动 。 也 可 以 使 用 showmount 来 查看 服务 器 的 输出 清单 : 


经 过 以 上 的 步骤 NFS 服务 器 端 已 经 配置 完成 ， 接 下 来 进行 客户 端的 配置 。 


5.1.3 配置 NFS 客户 端 

要 在 客户 端 使 用 NFS， 首 先 需 要 确定 要 挂 载 的 文件 路 径 ， 并 确认 该 路 径 中 没有 已 经 存在 
的 数据 文件 ， 然 后 确定 要 挂 载 的 服务 器 端的 路 径 ， 然 后 使 用 mount 挂 载 到 本 地 磁盘 ， 如 【 示 
例 5-7】 所 示 ，mount 命令 的 详细 用 法 可 参考 前 面 章节 。 


【示例 5-7】 


以 读 写 模式 挂 载 了 共享 目录 ， 但 root 用 户 并 不 可 写 ， 其 原因 在 于 /etc/exports 中 的 文件 设 
置 。 由 于 all_squash 和 root_squash 为 NFS 的 默认 设置 ， 会 将 远程 访问 的 用 户 映射 为 nobody 
用 户 ， 而 /test 目录 nobody 用 户 是 不 可 写 的 ， 通 过 修改 共享 设置 可 以 解决 这 个 问题 。 


通过 以 上 设置 然后 重启 NFS 服务 ， 这 时 目录 挂 载 后 可 以 正常 读 写 了 。 


与 .2 文件 服务 器 Samba 


Samba 是 一 种 在 Linux 环境 中 运行 的 免费 软件 ,利用 Samba, Linux 可 以 创建 基于 Windows 
的 计算 机 使 用 共享 。 另 外 ，Samba 还 提供 一 些 工具 ， 人 允许 Linux 用 户 从 Windows 计算 机 进入 
共享 和 传输 文件 。 Samba 是 基于 Server Messages Block 的 协议 ， 可 以 为 局 域 网 内 的 不 同 计 算 机 
系统 之 间 提 供 文 件 及 打印 机 等 资源 的 共享 服务 。 


5.2.1 Samba 服务 简介 

SMB (Server Messages Block， 信 息 服 务 块 ) 是 一 种 在 局 域 网 上 共享 文件 和 打印 机 的 一 种 
通信 协议 ， 它 为 局 域 网 内 的 不 同 计算 机 之 间 提 供 文 件 及 打印 机 等 资源 的 共享 服务 。SMB 协议 
是 客户 机 /服务 器 型 协议 ， 客 户 机 通过 该 协议 可 以 访问 服务 器 上 的 共享 文件 系统 、 打 印 机 及 其 
他 资源 。 通 过 设置 “NetBIOS over TCP/IP” 使 得 Samba 方便 在 网 络 中 共享 资源 。 
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5.2.2 ”Samba 服务 安装 配置 

在 进行 Samba 服务 安装 之 前 首先 了 解 下 网 上 邻居 工作 原理 。 网 上 邻居 的 工作 模式 是 一 个 
典型 的 客户 端 /服务 器 工作 模式 ， 首 先 ， 单 击 【网 络 邻 居 】 图 标 ， 打 开 网 上 邻居 列表 ， 这 个 阶 
段 的 实质 是 列 出 一 个 网 上 可 以 访问 的 服务 器 的 名 字 列 表 。 其 次 , 单 击 【 打 开 目 标 服务 器 】 图 标 ， 
列 出 目标 服务 器 上 的 共享 资源 ， 接 下 来 ， 单 击 需 要 的 共享 资源 图 标 ， 进 行 需要 的 操作 〈 这 些 操 
作 包括 列 出 内 容 、 增 加 、 修 改 或 删除 内 容 等 )。 在 单 击 一 台 具 体 的 共享 服务 器 时 ， 先 发 生 了 一 
个 名 字 解 析 过 程 ， 电脑 会 尝试 解析 名 字 列 表 中 的 这 个 名 称 ， 并 尝试 进行 连接 。 在 连接 到 该 服务 
器 后 , 可 以 根据 服务 器 的 安全 设置 对 服务 器 上 的 共享 资源 进行 允许 的 操作 。Samba 服务 可 以 提 
供 的 功能 为 可 以 在 Linux 之 间或 Linux 与 Windows 之 间 共 享 资源 。 


1. Samba 的 安装 


要 安装 samba 服务 器 ， 可 以 采用 两 种 方法 :从 二 进 制 代码 安装 和 从 源 代码 安装 。 初 学 者 
建议 使 用 RPM 来 安装 ; 较为 熟练 的 使 用 者 可 以 采用 源码 安装 的 方式 。 本 节 采 用 源码 安装 的 方 
式 , 最 新 的 源码 可 以 在 http:/www.samba.org/ 获 取 ， 本 节 采 用 的 软件 包 为 samba-4.2.0.tar.gz， 安 
装 过 程 如 【示例 5-8】 所 示 。 


【示例 5-8】 


在 主 目录 中 的 bin 和 sbin 子 目 录 中 ， 包 含 了 Samba 最 主要 的 程序 : 


@ smbd: SMB 服务 器 ， 为 客户 机 如 Windows 等 提供 文件 和 打印 服务 。 
@ nmbd: NetBIOS 名 字 服 务 器 ， 可 以 提供 浏览 支持 。 
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smbclient: SMB 客户 程序 类似 FTP 程序 , 用 以 从 Linux 或 其 他 操作 系统 上 访问 SMB 
服务 器 上 的 资源 。 

smbmoun: 挂 载 SMB 文件 系统 的 工具 ， 对 应 的 印 载 工具 为 smbumount。 

smbpasswd: 用 户 增删 登录 服务 端的 用 户 和 密码 。 


2. 配置 文件 
以 下 是 一 个 简单 的 配置 ， 允 许 特定 的 用 户 读 写 指定 的 目录 ， 如 【示例 5-9】 所 示 。 
【示例 5-9】 


[global] 表 示 全 局 配置 ， 是 必须 有 的 选项 。 以 下 是 每 个 选项 的 含义 。 


workgroup: 在 Windows 中 显示 的 工作 组 。 

netbios name: 在 Windows 中 显示 出 来 的 计算 机 名 。 

Server string: 就 是 Samba 服务 器 说 明 ， 可 以 自己 来 定义 。 

security: 这 是 验证 和 登录 方式 ，share 表示 不 需 用 户 名 密码 ， 对 应 的 另外 一 种 为 user 
验证 方式 ， 需 要 用 户 名 密码 。 

[test]: 表示 Windows 中 显示 出 来 的 是 共享 的 目录 。 

path: 共享 的 目录 。 

writeable: 共享 目录 是 否 可 写 。 


105 


CentOS 7 系统 管理 与 运 维 实战 


@@ browseable: 共享 目录 是 否 可 以 浏览 。 
@ guestok: 是 否 允 许 匿名 用 户 以 guest 身份 登录 。 
3. 服务 启动 


首先 创建 用 户 目 录 及 设置 允许 的 用 户 名 和 密码 , 认证 方式 为 系统 用 户 认证 , 要 添加 的 用 户 
名 需要 在 /etc/passwd 中 存在 ， 如 【示例 5-10】 所 示 。 


【示例 5-10】 


启动 完毕 可 以 使 用 ps 命令 和 netstat 命令 查看 进程 和 端口 是 否 启 动 成 功 。 


4. 服务 测试 


打开 Windows 中 的 资源 管理 器 ,输入 地 址 \192.168.19.103， 按 Enter 键 ， 弹 出 用 户 名 密码 
校 验 界面 ， 输 入 用 户 名 密码 ， 如 图 5.1 所 示 。 


图 5.1 Samba 登录 验证 界面 
验证 成 功 后 可 以 看 到 共享 的 目录 ， 进 入 test2， 创 建 目录 testdir， 如 图 5.2 所 示 。 可 以 看 到 


此 目录 对 于 test2 用 户 是 可 读 可 写 的 ， 与 之 对 应 的 是 进入 目录 test1， 发 现 没 有 权限 写 入 ， 如 图 
5.3 所 示 。 
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地 址 | 久 \\192. 168.19.103\test2 


文件 和 文件 夹 任务 A | testdir 


加 如 一 个 新 文件 到 
© 亲 芝 人 文件 发 到 


图 5.2 验证 目录 权限 图 5.3 无 权限 目录 无 法 访问 
以 上 演示 了 Samba 的 用 法 ， 要 求 用 户 在 访问 共享 资源 之 前 必须 先 提供 用 户 名 和 密码 进行 


验证 。Samba 其 他 的 功能 可 以 参考 系统 帮助 。 


与 .了 FTP 服务 器 


FTP 文件 共享 基于 TCP/IP 协议 ， 目 前 绝 大 多 数 系统 都 会 有 支持 FTP 的 工具 存在 ，FTP 是 
-种 通用 性 比较 强 的 网 络 文件 共享 方式 。 


在 配置 FTP 之 前 最 好 先 禁用 SELinux、 防 火 墙 ， 或 者 为 他 们 添加 合适 的 规则 ， 和 否则 会 导致 
失败 。 另 一 个 小 技巧 是 在 安装 服务 软件 之 前 ， 先 用 命令 yum update -y 更 新 系统 ， 以 减少 
| BUG 出 现 的 可 能 。 


5.3.1 FTP 服务 概述 

FTP 方便 地 解决 了 文件 的 传输 问题 ， 从 而 让 人 们 可 以 方便 地 从 计算 机 网 络 中 获得 资源 。 
FTP 已 经 成 为 计算 机 网 络 上 文件 共享 的 一 个 标准 。FTP 服务 器 中 的 文件 按 目录 结构 进行 组 织 ， 
用 户 通过 网 络 与 服务 器 建立 连接 。FTP 是 仅 基 于 TCP 的 服务 , 不 支持 UDP。 与 众 不 同 的 是 FTP 
使 用 两 个 端口 ， 一 个 数据 端口 和 一 个 命令 端口 ， 也 可 叫做 控制 端口 。 通 常 来 说 这 两 个 端口 是 
21 (命令 端口 ) 和 20〈 数 据 端口 )。 由 于 FTP 工作 方式 的 不 同 ， 数 据 端 口 并 不 总 是 20， 分 为 
主动 FTP 和 被 动 FTP。 


1. 主动 FTP 


主动 方式 的 FTP 客户 端 从 一 个 任意 的 非特 权 端口 N (N>1024) 连接 到 FTP 服务 器 的 命令 
端口 21， 然 后 客户 端 开 始 监听 端口 N+1， 并 发 送 FTP 命令 “port N+1” 到 FTP 服务 器 。 接 着 
服务 器 会 从 自己 的 数据 端口 20) 连接 到 客户 端 指定 的 数据 端口 (N+1)。 主 动 模式 下 ， 服 务 
器 端 开 启 的 是 20 和 21 端口 ， 客 户 端 开启 的 是 1024 以 上 的 端口 。 

2. 被 动 FTP 

为 了 解决 服务 器 发 起 到 客户 的 连接 的 问题 采取 了 被 动 方式 ， 或 叫做 PASV， 当 客户 端 通知 
服务 器 处 于 被 动 模式 时 才 启 用 。 在 被 动 方式 FTP 中 ， 命 令 连接 和 数据 连接 都 由 客户 端 发 起 ， 
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当 开 启 一 个 FTP 连接 时 ， 客 户 端 打开 两 个 任意 的 非特 权 本 地 端口 (N > 1024 和 N+1)。 第 1 
个 端口 连接 服务 器 的 21 端口 ， 但 与 主动 方式 的 FTP 不 同 ， 客 户 端 不 会 提交 PORT 命令 并 允许 
服务 器 来 回 连接 它 的 数据 端口 , 而 是 提交 PASYV 命令 。 这样 做 的 结果 是 服务 器 会 开启 一 个 任意 
的 非特 权 端 口 (P > 1024)， 并 发 送 PORT P 命令 给 客户 端 。 然 后 客户 端 发 起 从 本 地 端口 N+1 
到 服务 器 的 端口 P 的 连接 用 来 传送 数据 ， 此 时 服务 端的 数据 端口 不 再 是 20 端口 。 此 时 服务 端 
开启 的 是 21 命令 端口 和 大 于 1024 的 数据 连接 端口 ， 客 户 端 开启 的 是 大 于 1024 的 两 个 端口 。 

主动 模式 是 从 服务 器 端 向 客户 端 发 起 连接 ; 而 被 动 模式 是 客户 端 向 服务 器 端 发 起 连接 。 两 
者 的 共同 点 是 都 使 用 21 端口 进行 用 户 验证 及 管理 ， 差 别 在 于 传送 数据 的 方式 不 同 。 


5.3.2 ”vsftp 的 安装 与 配置 

在 Linux 系统 下 ,vsftp 是 一 款 应 用 比较 广泛 的 FTP 软件 , 其 特点 是 小 巧 轻快 , 安全 易 用 。 
目前 在 开源 操作 系统 中 常用 的 FTP 软件 除 vsftp 外 ， 主 要 有 proftpd、purefrpd 和 wu-ftpd 等 ， 
各 个 FTP 软件 并 无 优 劣 之 分 ， 读 者 可 选择 熟悉 的 FTP 软件 。 

1. 安装 vsftpd 

安装 此 FTP 软件 可 以 采用 rpm 包 或 源码 的 方式 ，rpm 包 可 以 在 系统 安装 盘 中 找到 。 安 装 
过 程 如 【示例 5-11】 所 示 。 


【示例 5-11】 
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以 上 两 种 安装 方法 都 是 可 行 的 ， 读 者 可 自行 选择 如 何 安装 。 在 本 例 中 将 采用 以 yum 工具 
安装 的 vsftpd 作为 范例 。 


2. 匿名 FTP 设置 


【示例 5-12】 所 示 的 是 允许 匿名 用 户 访问 并 上 传 文件 ， 配 置 文件 路 径 一 般 为 
/etc/vsftpd.conf， 如 果 是 使 用 rpm 包 安 装 ， 配 置 文件 位 于 /etc/vsftpd/vsftpd.conf。 


【示例 5-12】 
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3. 启动 FTP 服务 
【示例 5-13】 


4. 匿名 用 户 登 录 测试 
【示例 5-14】 


5. 实名 FTP 设置 


除 配置 匿名 FTP 服务 外 , vsftp 还 可 以 配置 实名 FTP 服务 器 , 以 便 实现 更 精确 的 权限 控制 。 
实名 需要 的 用 户 认证 信息 位 于 /etc/vsftpd/ 目 录 下 ，vsftpd.conf 也 位 于 此 目录 ， 用 户 启动 时 可 以 
单独 指定 其 他 的 配置 文件 ， 本 示例 FTP 认证 采用 虚拟 用 户 认证 。 


【示例 5-15】 
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vsftp 可 以 指定 某 些 用 户 不 能 登录 ftp 服务 器 、 支 持 SSL 连接 、 限 制 用 户 上 传 速率 等 ， 更 
多 配置 可 参考 帮助 文档 。 
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5.3.3 ”proftpd 的 安装 与 配置 

proftpd 为 开放 源码 的 FTP 软件 ， 其 配置 与 Apache 类 似 ， 相 对 于 wu-ftpd， 其 在 安全 性 和 
可 伸缩 性 等 方面 有 很 大 的 提高 。 

1. 安装 proftpd 


最 新 的 源码 可 以 在 http://www.proftpd.org/ 获 取 ， 最 新 版 本 为 1.3.5， 本 节 采 用 源码 安装 的 
方式 安装 ， 安 装 过 程 如 【示例 5-16】 所 示 。 


【示例 5-16】 


2. 匿名 FTP 设置 


根据 上 面 的 安装 路 径 ， 配 置 文 件 默 认 位 置 在 /usr/local/proftp/etc/proftpd.conf， 人 允许 医 名 用 
户 访 问 并 上 传 文件 的 配置 ， 如 【示例 5-17】 所 示 。 


【示例 5-17】 


3. 启动 FTP 服务 
【示例 5-18】 


4. 匿名 用 户 登录 测试 
【示例 5-19】 
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5. 实名 FTP 设置 


除 配置 匿名 FTP 服务 ，proftp 可 以 配置 实名 FTP 服务 器 ， 以 便 实现 更 精确 的 权限 控制 。 
比如 登录 权限 、 读 写 权限 ， 并 可 以 针对 每 个 用 户 单独 控制 ， 配 置 过 程 如 【示例 5-20】 所 示 ， 
本 示例 用 户 认证 方式 为 Shell 系统 用 户 认证 。 


【示例 5-20】 


proftp 设置 文件 中 使 用 原始 的 FTP 指令 实现 更 细 粒 度 的 权限 控制 可 以 针对 每 个 用 户 设置 
单独 的 权限 ， 常 见 的 FTP 命令 集 如 下 : 


@ ALL 表示 所 有 指令 ， 但 不 包含 LOGIN 指令 。 

@  DIRS 包含 CDUP、CWD、LIST、MDTM、MLSD、MLST、NLST、PWD、RNFR、 
STAT、XCUP、XCWD、XPWD 指令 集 。 

@ ”LOGIN 包含 客户 端 登录 指令 集 。 

@ READ 包含 RETR、SIZE 指令 集 。 

@ WRITE 包含 APPE、DELE、MKD、RMD、RNTO、STOR、STOU、XMKD、XRMD 
指令 集 ， 每 个 指令 集 的 具体 作用 可 参考 帮助 文档 。 


以 上 示例 为 使 用 当前 的 系统 用 户 登录 FTP 服务 器 ， 为 避免 安全 风险 ，proftpd 的 权限 可 以 
和 MySQL 相 结合 实现 更 丰富 的 功能 ， 更 多 配置 可 参考 帮助 文档 。 


5.4 4 千 


本 章 介绍 了 NFS 的 原理 及 其 配置 过 程 ,NFS 主要 用 于 需要 数据 一 致 性 的 场合 , 比如 Apache 
服务 可 能 需要 共同 的 存储 服务 , 而 前 端的 Apache 接 入 则 可 能 有 多 台 服 务 器 , 通过 NFS 用 户 可 
以 将 一 份 数 据 挂 载 到 多 台 机 器 上 , 这 时 客户 端 看 到 的 数据 将 是 一 致 的 , 如 需 修改 则 只 需 修改 一 
份 数据 即 可 。 

Samba 常用 于 Linux 和 Windows 中 的 文件 共享 , 本 章 介绍 了 Samba 的 原理 及 其 配置 过 程 。 
通过 Samba， 开 发 者 可 以 在 Windows 中 方便 地 编辑 Linux 系统 的 文件 ， 通 过 利用 Windows 中 
强大 的 编辑 工具 可 以 大 大 提高 开发 者 的 效率 。 
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< 措 建 LAMP 服 务 > 


使 用 LAMP (Linux +Apache + MySQL + PHP) 来 搭建 Web 应 用 尤其 是 电子 商务 已 经 是 一 
种 流行 的 方式 , 因为 全 部 是 开源 和 免费 的 软件 , 所 以 成 本 非常 低廉 。 本 章 主要 介绍 平台 的 搭建 ， 
在 搭建 平台 时 ， 也 可 以 直接 使 用 RPM 包 来 安装 ， 但 是 由 于 使 用 RPM 包 依 赖 特定 的 平台 ， 可 
以 使 用 更 通用 的 方法 直接 从 源 代码 来 安装 。 

本 章 首 先 介绍 LAMP 密切 相关 的 HTTP 协议 , 然后 介绍 Apache 服务 的 安装 与 配置 和 PHP 
的 安装 与 配置 ， 最 后 给 出 了 MySQL 的 一 些 日 常 维护 方法 。 

本 章 主要 涉及 的 知识 点 有 : 

@ Apache 的 安装 与 配置 

@ PHP 的 安装 与 配置 

@ LAMP 应 用 


Apache HTTP 服务 安装 与 配置 


Apache 是 世界 上 应 用 最 广泛 的 Web 服务 器 之 一 ， 尤 其 是 现在 ， 使 用 LAMP 
(Linux+Apache+MySQL+PHP ) 来 搭建 Web 应 用 已 经 是 一 种 流行 的 方式 ， 因 此 ， 掌 握 Apache 
的 配置 是 系统 工程 师 必 备 的 技能 之 一 。 本 节 主 要 介绍 Apache 的 安装 与 配置 。 


6.1.1 HTTP 协议 简介 
超 文本 传送 协议 (Hypertext Transfer Protocol，HTTP ) 是 因特网 (World Wide Web，WWW, 也 
简称 为 Web) 的 基础 。HTTP 服务 器 与 HTTP 客户 机 (通常 为 网 页 浏览 器 ) 之 间 的 会 话 如 图 6.1 所 示 。 


Web 浏 览 器 Web 服 务 器 


图 6.1 HTTP 服务 端 与 HTTP 客户 端 交互 过 程 
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下 面 对 这 一 交互 过 程 进行 详细 分 析 。 
1. 客户 机 与 服务 器 建立 连接 


首先 客户 端 与 服务 器 建立 连接 ， 就 是 SOCKET 连接 ， 因 此 要 指定 机 器 名 称 、 资 源 名 称 和 
端口 号 ， 可 以 通过 URL 来 提供 这 些 信息 。URL 的 格式 如 【示例 6-1】 所 示 。 


【示例 6-1】 


HTTP://<IP 地 址 >/ [端口 号 ] / [路 径 ] [ < 其 他 信息 >] 
http://dev.mysql.com/get/Downloads/MySQL-5.1/mysql-5.1.49.tar.gz 


2. 客户 向 服务 器 提出 请 求 


请 求 信息 包括 希望 返回 的 文件 名 和 客户 机 信息 。 客户 机 信息 以 请 求 头发 送 给 服务 器 , 请 求 
头 包括 HTTP 方法 和 头 字段 。 

HTTP 方法 常用 的 有 GET、HEAD、POST， 头 字段 主要 包含 以 下 字段 。 

@ DATE: 请 求 发 送 的 日 期 和 时 间 。 

@ PARGMA: 用 于 向 服务 器 传输 与 实现 无 关 的 信息 。 这 个 字段 还 用 于 告诉 代理 服务 器 ， 
要 从 实际 服务 器 而 不 是 从 高 速 缓存 获取 资源 。 
FORWARDED: 可 以 用 来 追踪 机 器 之 间 ， 而 不 是 客户 机 和 服务 器 的 消息 。 这 个 字段 
可 以 用 来 追踪 在 代理 服务 器 之 间 的 传递 路 由 。 
MESSAGE_ID: 用 于 唯一 地 标识 消息 。 
ACCEPT: 通知 服务 器 客户 所 能 接受 的 数据 类 型 和 尺寸 。 
FROM: 当 客 户 应 用 程序 希望 服务 器 提供 有 关 电 子 邮 件 地 址 时 使 用 。 
IF-MODEFIED-SINCE: 如 果 所 请 求 的 文档 自从 所 指定 的 日 期 以 来 没有 发 生变 化 ， 则 
服务 器 应 不 发 送 该 对 象 。 如 果 所 发 送 的 日 期 格式 不 合法 ， 或 晚 于 服务 器 的 日 期 ， 服 务 
器 会 忽略 该 字段 。 

@。 BEFERRER: 向 服务 器 进行 资源 请 求 用 到 的 对 象 。 

@ MIME-VERTION: 用 于 处 理 不 同类 型 文件 的 MIME 协议 版 本 号 。 

@ USER-AGENT: 有 关 发 出 请 求 的 客户 信息 。 

3. 服务 器 对 请 求 做 出 应 答 

服务 器 收 到 一 个 请 求 , 就 会 立刻 解释 请 求 中 所 用 到 的 方法 ， 并 开始 处 理应 答 。 服 务 器 的 应 
答 消息 也 包含 头 字段 形式 的 报 文 信息 。 状 态 码 是 个 3 位 数字 码 ， 主 要 分 为 4 类 。 

@ 以 2 开头 ， 表 示 请 求 被 成 功 处 理 

@ 以 3 开头 ， 表 示 请 求 被 重 定向 

@ 以 4 开头 ， 表 示 客 户 的 请 求 有 错 

@ 以 5 开头 ， 表 示 服 务 器 不 能 满足 请 求 
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响应 报 文 除了 返回 状态 行 ， 还 向 客户 返回 几 个 头 字段 ， 如 以 下 字段 : 


@@ DATE: 服务 器 的 时 间 

LAST-MODIFIED: 网 页 最 后 被 修改 的 时 间 
SERVER: 服务 器 信息 

CONTENT _TYPE: 数据 类 型 

RETRY_ AFTER: 服务 器 太 忙 时 返回 这 个 字段 


. 关闭 客户 与 服务 器 之 间 的 连接 
此 步 主要 关闭 客户 端 与 服务 器 的 连接 ， 详 细 过 程 请 参考 TCP/IP 协议 的 关闭 过 程 。 


人 


6.1.2 Apache 服务 的 安装 、 配 置 与 启动 

Apache 由 于 其 跨 平台 和 安全 性 被 广泛 使 用 ，Apache 的 特点 是 简单 、 速 度 快 、 性 能 稳定 ， 
并 可 做 代理 服务 器 来 使 用 。 可 以 支持 SSL 技术 ， 并 且 支 持 多 个 虚拟 主机 ， 是 作为 Web 服务 的 
优先 选择 。 


1. 编译 安装 


本 书 主要 以 httpd-2.4.12.tar.gz 源码 安装 Apache HTTP 服务 为 例 说 明 其 安装 过 程 。 如 果 系 
统 需要 使 用 https 协议 来 进行 访问 ， 需 要 Apache 支持 SSL， 因此， 在 开始 安装 Apache 软件 之 
前 ， 首 先 要 安装 OpenSSL， 其 源码 可 以 在 http:/www.openssl.org/ 下 载 。 安 装 OpenSSL 的 步骤 
如 【示例 6-2】 所 示 。 


【示例 6-2】 
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在 安装 完 OpenSSL 后 ， 接 下 来 就 可 以 安装 Apache 了 ， 安 装 Apache 的 步骤 如 【示例 6-3】 
所 示 。 


【示例 6-3】 


Apache 是 模块 化 的 服务 器 ， 核 心服 务 器 中 只 包含 了 功能 最 常用 的 模块 ， 而 扩展 功能 由 其 
他 模块 提供 。 设 置 过 程 中 ， 可 以 指定 包含 哪些 模块 。Apache 有 两 种 使 用 模块 的 方法 : 


(1) 一 是 静态 编译 至 二 进 制 文件 。 如 果 操 作 系统 支持 动态 共享 对 象 (DSO)， 而 且 能 为 
autoconf 所 检测 ， 则 模块 可 以 使 用 动态 编译 。DSO 模块 的 存储 是 独立 于 核心 的 , 可 以 被 核心 使 
用 由 mod_so 模块 提供 的 运行 时 刻 配 置 指令 包含 或 排除 。 如 果 编 译 中 包含 有 任何 动态 模块 ， 则 
mod_so 模块 会 被 自动 包含 进 核心 。 如 果 希 望 核心 能 够 装载 DSO, 而 不 实际 编译 任何 动态 模块 ， 
需要 明确 指定 --enable-so。 在 当前 的 失利 中 ， 核 心 模块 功能 我 们 全 部 启用 。 

(2) 二 是 需要 启用 SSL 加 密 和 mod_rewrite， 并 且 采 用 动态 编译 模式 以 便 后 续 可 以 动态 
添加 模块 而 不 重新 编译 Apache， 因 此 需要 启用 mod_so。 


在 上 面 的 示例 中 ,还 有 一 个 重要 的 选项 with-mpm， 这 个 选项 用 来 指定 httpd 的 工作 模式 。 
常见 的 httpd 工作 模式 有 两 种 prefork 和 worker: 


@ prefork: 这 是 之 前 2.2 版 中 默认 的 工作 模式 。 这 种 工作 模式 下 会 有 许多 子 进程 ， 每 个 
子 进程 只 有 一 个 线程 ， 同 一 时 间 每 个 进程 都 只 处 理 一 个 请 求 。 这 种 工作 模式 一 般 用 来 
避免 线程 兼容 性 问题 ，Unix 系统 中 多 采用 此 种 方式 。 这 种 工作 模式 的 优点 是 处 理 效 
率 高 ， 稳 定性 好 ， 但 内 存 使 用 量 比较 大 。 

@ ”worker: worker 工作 模式 与 prefork 不 同 ，worker 也 会 有 许多 子 进程 ， 但 每 个 子 进程 
有 多 个 线程 ,同一 时 间 每 个 线程 只 处 理 一 个 请 求 。 这 种 工作 模式 的 优点 是 内 存 使 用 量 
小 ， 由 于 一 个 线程 衣 溃 会 导致 整个 进程 崩溃 ， 因 此 其 稳定 性 相对 不 足 。 


除了 以 上 两 种 常见 的 工作 模式 之 外 ， 还 有 一 种 名 为 Event 的 工作 模式 ， 这 种 模式 可 以 用 来 
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处 理 更 高 的 负载 ， 但 使 用 这 种 工作 模式 的 网 站 较 少 ， 此 处 不 作 讨论 。 
基于 上 面 的 分 析 ， 配 置 编 译 选项 时 ， 推 荐 使 用 以 下 选项 ， 如 【示例 6-4】 所 示 。 


【示例 6-4】 


于 每 个 项 目 及 网 站 的 情况 不 同 ,如果 还 需要 支持 其 他 的 模块 ， 可 以 在 编译 时 使 用 相应 的 


选项 。 
2. 主要 目录 


经 过 上 面 的 过 程 Apache 已 经 安装 完毕 ， 安 装 目录 位 于 /usr/local/apache2 目录 下 。 主 要 的 
目录 说 明 如 表 6.1 所 示 。 


表 6.1 Apache 目录 说 明 
参数 说 明 


3. 配置 文件 


Apache 主 配 置 文件 位 于 conf 目录 中 ， 名 为 httpd.conf。httpd.conf 包含 丰富 的 选项 配置 供 
用 户 选择 ， 下 面 是 一 些 主要 配置 项 的 含义 说 明 。 


【示例 6-5】 
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以 上 是 配置 文件 httpd.conf 中 最 主要 的 配置 项 及 其 说 明 ， 其 中 模块 部 分 并 未 完全 列举 。 要 
查询 各 个 模块 的 详细 用 法 及 说 明 ， 可 以 参考 http://httpd.apache.org/docs/2.4/mod/ 中 的 相关 文档 
了 解 。 


多。 Apache 有 着 从 多 的 模块， 通常 如 果 没有 特殊 需要 没有 必要 修改 加 载 的 相关 设置 。 


前 面 介绍 到 httpd 的 两 种 常见 模式 ， 在 本 例 中 还 没有 为 工作 模式 相关 的 模块 设置 参数 。 在 
配置 文件 httpd.conf 中 加 入 相关 参数 ， 设 置 prefork 模块 相关 参数 如 下 ， 这 里 重点 说 明 各 配置 
项 的 意义 。 一 个 典型 的 profork 模块 参数 如 下 所 示 : 


指令 说 明 : 


@ StartServers: 设置 服务 器 启动 时 建立 的 子 进程 数量 。 因 为 子 进程 数量 动态 地 取决 于 负 
载 的 轻重 ， 所 有 一 般 没有 必要 调整 这 个 参数 。 

@ ”MinSpareServers: 设置 空闲 子 进 程 的 最 小 数量 。 所 谓 空闲 子 进程 是 指 没有 正在 处 理 请 
求 的 子 进 程 。 如 果 当 前 空闲 子 进程 数 少 于 MinSpareServers ， 那 么 Apache 将 以 最 大 
每 秒 一 个 的 速度 产生 新 的 子 进程 。 只 有 在 非常 繁忙 的 机 器 上 才 需 要 调整 这 个 参数 , 通 
常 不 建议 将 此 参数 的 值 设置 的 太 大 ， 除 非 你 的 机 器 非常 繁忙 。 
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@ MaxSpareServers: 设置 空闲 子 进程 的 最 大 数量 。 如 果 当 前 有 超过 MaxSpareServers 数 
量 的 空闲 子 进程 ,那么 父 进程 将 杀 死 多 余 的 子 进程 。 只 有 在 非常 繁忙 的 机 器 上 才 需 要 
调整 这 个 参数 ， 通 常 不 建议 将 此 参数 设置 的 太 大 ， 除 非 你 的 机 器 非常 繁忙 。 如 果 将 该 
指令 的 值 设 置 为 比 MinSpareServers 小 ， Apache 将 会 自动 将 其 修改 成 

“MinSpareServers+1l1” 。 

@。 ServerLimit 服务 器 允许 配置 的 进程 数 上 限 。 只 有 在 你 需要 将 MaxClients 设置 成 高 于 
默认 值 256 时 才 需 要 使 用 。 要 将 此 指令 的 值 保持 和 MaxClients 一 样 。 修 改 此 指令 的 
值 必须 完全 停止 服务 后 再 启动 才能 生效 ， 以 restart 方式 重启 动 将 不 会 生效 。 

@ MaxClients: 用 于 伺服 客户 端 请 求 的 最 大 请 求 数量 (最 大 子 进程 数 ) ， 任 何 超过 
MaxClients 限制 的 请 求 都 将 进入 等 候 队 列 。 默 认 值 是 236， 如 果 要 提高 这 个 值 必须 同 
时 提高 ServerLimit 的 值 笔者 建议 将 初始 值 设 为 ( 以 MB 为 单位 的 最 大 物理 内 存 /2 ) 
然后 根据 负载 情况 进行 动态 调整 。 比 如 一 台 4GB 内 存 的 机 器 ， 那 么 初始 值 就 是 
4000/2=2000。 

@ MaxRequestsPerChild: 设置 每 个 子 进程 在 其 生存 期 内 允许 伺服 的 最 大 请 求 数量 到达 
MaxRequestsPerChild 的 限制 后 ， 子 进程 将 会 结束 ， 如 果 MaxRequestsPerChild 为 "0"， 
子 进程 将 永远 不 会 结束 。 将 MaxRequestsPerChild 设置 成 非 零 值 有 两 个 好 处 : 可 以 防 
止 (偶然 的 ) 内 存 泄漏 无 限 进行 而 耗 尽 内 存 ; 给 进程 一 个 有 限 寿 命 ， 从 而 有 助 于 当 服 
务 器 负载 减轻 时 减少 活动 进程 的 数量 。 


目前 大 多 数 服 务 器 都 使 用 了 prefork 模式 ， 如 果 需 要 采用 worker 模式 ， 其 典型 的 参数 如 下 
所 示 : 


指令 说 明 : 


@ StartServers: 设置 服务 器 启动 时 建立 的 子 进 程 数 量 。 因 为 子 进程 数量 动态 地 取决 于 负 
载 的 轻重 ， 所 有 一 般 没 有 必要 调整 这 个 参数 。 

@ ServerLimit: 服务 器 允许 配置 的 进程 数 上 限 。 只 有 在 你 需要 将 MaxClients 和 
ThreadsPerChild 设置 成 需要 超过 默认 值 16 个 子 进 程 时 才 需 要 使 用 这 个 指令 。 不 要 将 
该 指令 的 值 设置 的 比 MaxClients 和 ThreadsPerChild 需要 的 子 进 程 数量 高 。 修 改 此 指 
令 的 值 必须 完全 停止 服务 后 再 启动 才能 生效 ， 以 restart 方式 重新 启动 将 不 会 生效 。 
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@@ ThreadLimit: 设置 每 个 子 进程 可 配置 的 线程 数 ThreadsPerChild 上 限 ， 该 指令 的 值 应 
当 和 ThreadsPerChild 可 能 达到 的 最 大 值 保持 一 致 。 修 改 此 指令 的 值 必须 完全 停止 服 
务 后 再 启动 才能 生效 ， 以 restart 方式 重新 启动 将 不 会 生效 。 

@ MaxClients: 用 于 伺服 客户 端 请 求 的 最 大 接 入 请 求 数 量 ( 最 大 线程 数 ) 。 任 何 超过 
MaxClients 限制 的 请 求 都 将 进入 等 候 队列 。 默 认 值 是 400，16 ( ServerLimit ) 乘 以 25 
(ThreadsPerChild ) 的 结果 。 因 此 要 增加 MaxClients 时 ， 你 必须 同时 增加 ServerLimit 
的 值 。 笔 者 建议 将 初始 值 设 为 以 MB 为 单位 的 最 大 物理 内 存 /2， 然 后 根据 负载 情况 进 
行动 态 调整 。 比 如 一 台 4GB 内 存 的 机 器 ， 那 么 初始 值 就 是 4000/2=2000。 

@ MinSpareThreads: 最 小 空闲 线程 数 ， 默 认 值 是 “75”。 这 个 MPM 将 基于 整个 服务 器 
监视 空闲 线程 数 。 如 果 服 务 器 中 总 的 空闲 线程 数 太 少 ， 子 进程 将 产生 新 的 空闲 线程 。 

@ MaxSpareThreads: 设置 最 大 空闲 线程 数 。 默 认 值 是 “250”。 这 个 MPM 将 基于 整个 
服务 器 监视 空闲 线程 数 。 如 果 服 务 器 中 总 的 空闲 线程 数 太 多 ， 子 进程 将 杀 死 多 余 的 空 
闲 线程 。 


MaxSpareThreads 的 取 值 范围 是 有 限制 的 。Apache 将 按照 如 下 限制 自动 修正 你 设置 的 值 : 
worker 要 求 其 大 于 等 于 MinSpareThreads 加 上 ThreadsPerChild 的 和 。 


@ ThreadsPerChild: 每 个 子 进程 建立 的 线程 数 。 默 认 值 是 25。 子 进程 在 启动 时 建立 这 
些 线程 后 就 不 再 建立 新 的 线程 了 。 每 个 子 进程 所 拥有 的 所 有 线程 的 总 数 要 足够 大 ， 以 
便 可 以 处 理 可 能 的 请 求 高 峰 。 

@ MaxRequestsPerChild: 设置 每 个 子 进 程 在 其 生存 期 内 允许 伺服 的 最 大 请 求 数量 。 


需要 特别 注意 的 是 ， 配 置 文件 中 并 没有 关于 prefork 和 worker 的 相关 配置 项 ， 以 上 两 段 内 
容 需 要 手动 添加 ， 并 且 要 按 实 际 情况 对 以 上 参数 进行 调整 。 


4. 判断 使 用 何 种 工作 模式 


对 于 自己 安装 的 httpd， 我 们 可 以 通过 参考 编译 时 的 参数 判断 使 用 的 是 何 种 工作 模式 ， 但 
如 果 是 别人 编译 安装 的 httpd 可 能 就 无 法 判断 。 这 时 可 以 使 用 以 下 命令 判别 : 


【示例 6-6】 


从 以 上 命令 的 输出 可 以 判断 出 当前 使 用 的 是 prefork 工作 模式 。 
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6.1.3 ”Apache 基于 IP 的 虚拟 主机 配置 
Apache 配置 虚拟 主机 支持 3 种 方式 :基于 IP 的 虚拟 主机 配置 , 基于 端口 的 虚拟 主机 配置 ， 
基于 域名 的 虚拟 主机 配置 。 本 节 主 要 介绍 基于 IP 的 虚拟 主机 配置 。 
如 果 同 一 台 服 务 器 有 多 个 IP， 可 以 使 用 基于 IP 的 虚拟 主机 配置 ， 将 不 同 的 服务 绑 定 在 不 
同 的 人 上。 
(1) 假设 服务 器 有 个 IP 地 址 为 192.168.146.150， 首 先 使 用 ifconfig 在 同一 个 网 络 接口 上 
绑 定 其 他 3 个 IP， 如 【示例 6-7】 所 示 。 


【示例 6-7】 
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(2) 3 个 全 对 应 的 域名 如 下 ， 配 置 主机 的 host 文件 便于 测试 。 
【示例 6-8】 


(3) 建立 虚拟 主机 存放 网 页 的 根 目录 ， 并 创建 首页 文件 index.html。 
【示例 6-9】 


(4) 修改 httpd.conf 在 文件 末尾 加 入 以 下 配置 。 
【示例 6-10】 


(5) 编辑 每 个 IP 的 配置 文件 。 
【示例 6-11】 
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(6) 配置 完 以 后 可 以 启动 Apache 服务 并 进行 测试 。 
【示例 6-12】 
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6.1.4 Apache 基于 端口 的 虚拟 主机 配置 
如 一 台 服务 器 只 有 一 个 IP 或 需要 通过 不 同 的 端口 访问 不 同 的 虚拟 主机 ， 可 以 使 用 基于 端 
口 的 虚拟 主机 配置 。 


(1) 假设 服务 器 有 个 IP 地 址 为 192.168.146.154， 如 【示例 6-13】 所 示 。 


【示例 6-13】 


(2) 需要 配置 的 虚拟 主机 分 别 为 7081、8081 和 9081， 配 置 主机 的 host 文件 便于 测试 。 
【示例 6-14】 


(3) 建立 虚拟 主机 存放 网 页 的 根 目录 ， 并 创建 首页 文件 index.html。 
【示例 6-15】 


(4) 修改 httpd.conf 在 文件 末尾 加 入 以 下 配置 。 
【示例 6-16】 


(5) 编辑 每 个 IP 的 配置 文件 。 


【示例 6-17】 
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(6) 配置 完 以 后 可 以 启动 Apache 服务 并 进行 测试 。 
【示例 6-18】 
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6.1.5 ”Apache 基于 域名 的 虚拟 主机 配置 
使 用 基于 域名 的 虚拟 主机 配置 是 比较 流行 的 方式 ， 可 以 在 同一 个 IP 上 配置 多 个 域名 并 且 
都 通过 80 端口 访问 。 
(1) 假设 服务 器 有 个 IP 地 址 为 192.168.3.105， 如 【示例 6-19】 所 示 。 


【示例 6-19】 


(2) 192.168.3.105 对 应 的 域名 如 下 ， 配 置 主机 的 host 文件 便于 测试 。 
【示例 6-20】 


(3) 建立 虚拟 主机 存放 网 页 的 根 目录 ， 并 创建 首页 文件 index.html。 
【示例 6-21】 


(4) 修改 httpd.conf 在 文件 末尾 加 入 以 下 配置 。 
【示例 6-22】 


(5) 编辑 每 个 域名 的 配置 文件 。 


【示例 6-23】 
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(6) 配置 完 以 后 可 以 启动 Apache 服务 并 进行 测试 。 在 浏览 器 测试 是 同样 的 效果 。 
【示例 6-24】 
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如 果 需 要 在 现 有 的 Web 服务 器 上 增加 虚拟 主机 ， 通 常 建议 像 上 面 那样 单独 将 虚拟 主机 的 
配置 文件 写 在 一 个 专门 的 虚拟 主机 配置 文件 中 ， 然 后 在 httpd.conf 中 加 载 ， 以 免 将 httpd.conf 
弄 的 杂乱 无 章 。 在 虚拟 主机 配置 文件 中 ， 必 须 为 现存 的 主机 建造 一 个 <VirtualHost> 定 义 块 。 在 
<VirtualHost> 指 令 后 面 ， 即 可 以 使 用 一 个 固定 的 亿 地 址 ， 也 可 以 使 用 “* ”号 代表 所 有 监听 地 
址 。 之 后 需要 配置 虚拟 主机 使 用 的 域名 ， 主 目录 位 置 等 信息 。 

至 此 3 种 虚拟 主机 配置 方法 介绍 完毕 ， 有 关 配 置 文件 的 其 他 选项 可 以 参考 相关 资料 或 
Apache 的 帮助 手册 。 


6.1.6 ”Apache 安全 控制 与 认证 

Apache 提供 了 多 种 安全 控制 手段 , 包括 设置 Web 访问 控制 、 用 户 登录 密码 认证 及 .htaccess 
文件 等 。 通 过 这 些 技术 手段 ， 可 以 进一步 提升 Apache 服务 器 的 安全 级 别 ， 减 少 服务 器 受 攻击 
或 数据 被 窃取 的 风险 。 


1. Apache 安全 控制 


要 进行 Apache 的 访问 控制 首先 要 了 解 Apache 的 虚拟 目录 。 虚 拟 目录 可 以 用 指定 的 指令 
设置 ， 设 置 虚拟 目录 的 好 处 在 于 便于 访问 之 外 ， 还 可 以 增强 安全 性 ， 类 似 软 链接 的 概念 ， 客 户 
端 并 不 知道 文件 的 实际 路 径 。 虚 拟 目录 的 格式 如 【示例 6-25】 所 示 。 


【示例 6-25】 


每 个 Diretory 段 以 <Diretory> 开 始 ， 以 </Diretory> 结 束 ， 段 作用 于 <Diretory> 中 指定 的 目录 
及 其 里 面 的 所 有 文件 和 子 目录 。 在 段 中 可 以 设置 与 目录 相关 的 参数 和 指令 ， 包 括 访问 控制 和 认 
证 。2.4 版 的 Apache 在 访问 控制 方面 与 之 前 的 2.2 版 有 较 大 改变 ，2.4 版 中 的 控制 指令 主要 使 
用 Require， 控 制 方法 主要 有 基于 ip 地 址 、 域 名 、http 方法 、 用 户 等 。 


(1) 允许 、 拒 绝 所 有 访问 指令 
允许 、 拒 绝 所 有 访问 : 


(2) 基于 IP 地 址 或 网 络 
基于 IP 地 址 或 网 络 访问 : 
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(3) 基于 域名 
通常 不 建议 使 用 基于 域名 的 访问 控制 ， 这 主要 是 因为 解析 域名 可 能 会 导致 访问 速度 变 慢 : 


【示例 6-26】 


当 访 问 没有 权限 的 地 址 时 ， 会 出 现 以 下 提示 信息 : 


现在 , 我 们 使 用 6.1.3 小 节 中 虚拟 IP 虚拟 主机 的 例子 来 模拟 ， 其 中 主要 的 配置 文件 与 之 前 
设置 相同 。 

首先 配置 对 应 虚拟 主机 的 配置 文件 ， 本 例 中 仅 使 用 配置 文件 wwwtest151.conf， 如 【示例 
6-27】 所 示 。 


【示例 6-27】 


保存 后 重启 Apache 服务 。 
在 IP 地址 为 192.168.146.134 的 机 器 上 编辑 /etc/hosts， 加 入 以 下 内 容 : 


192.168.146.151 ww.testlsl.con 
之 后 可 以 直接 打开 浏览 器 访问 http://www.test151.com 进行 测试 ， 可 以 看 到 只 有 指定 的 客 
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户 端 可 以 访问 ， 访 问 控制 的 目的 已 经 达到 。 
2. Apache 认证 


除了 可 以 使 用 以 上 介绍 的 指令 控制 特定 的 目录 访问 之 外 , 如 服务 器 中 有 敏感 信息 需要 授权 
的 用 户 才 能 访问 , 所 以 Apache 提供 了 认证 与 授权 机 制 , 当 用 户 访问 使 用 此 机 制 控制 的 目录 时 ， 
会 提示 用 户 输入 用 户 名 密码 ， 只 有 输入 正确 用 户 名 和 密码 的 主机 才 可 以 正常 访问 该 资源 。 

Apache 的 认证 类 型 分 为 两 种 ， 基 本 (Basic) 认证 和 摘要 (Digest) 认证 两 种 。 摘 要 认证 
比 基 本 认证 更 加 安全 , 但 是 并 非 所 有 的 浏览 器 都 支持 摘要 认证 , 所 以 本 节 只 针对 基本 认证 进行 
介绍 。 基本 认证 方式 其 实 相当 简单 ， 当 Web 浏览 器 请 求 经 此 认证 模式 保护 的 URL 时 ， 将 会 出 
现 一 个 对 话 框 ， 要 求 用 户 输入 用 户 名 和 口令 。 用 户 输入 后 ， 传 给 Web 服务 器 ，Web 服务 器 验 
证 它 的 正确 性 。 如 果 正 确 ， 则 返回 页 面 ， 否 则 将 返回 401 错误 。 

要 使 用 用 户 认证 ， 首 先 要 创建 保存 用 户 名 和 口令 的 认证 口令 文件 。 在 Apache 中 提供 了 
htpasswd 命令 用 于 创建 和 修改 认证 口令 文件 ， 该 命令 在 <Apache 安装 目录 >/bin 目录 下 。 关 于 
该 命令 完整 的 选项 和 参数 说 明 可 以 通过 直接 运行 htpasswd 获取 。 

要 在 /usr/local/apache2/conf 目录 下 创建 一 个 名 为 users 的 认证 口令 文件 ， 并 在 口令 文件 中 
添加 一 个 名 为 admin 的 用 户 ， 命 令 如 下 所 示 。 


命令 运行 后 会 提示 用 户 输入 admin 用 户 的 口令 并 再 次 确认 。 

【示例 6-28】 

认证 口令 文件 创建 后 ， 如 果 还 要 再 向 文件 里 添加 一 个 名 为 userl 的 用 户 ， 可 以 执行 如 下 命令 。 
【示例 6-29】 


与 /etc/shadow 文件 类 似 ， 认 证 口令 文件 中 的 每 一 行为 一 个 用 户 记录 ， 每 条 记录 包含 用 户 
名 和 加 密 后 的 口令 。 


htpasswd 命令 没有 提供 删除 用 户 的 选项 , 如 果 要 删除 用 户 , 直接 通过 文本 编辑 器 打开 认证 
口令 文件 把 指定 的 用 户 删除 即 可 。 
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创建 完 认证 口令 文件 后 ， 还 要 对 配置 文件 进行 修改 ， 用 户 认证 是 在 httpd.conf 配置 文件 中 
的 <Directory> 段 中 进行 设置 的 ， 其 配置 涉及 的 主要 指令 如 下 : 


(1) AuthName 指令 
AuthName 指令 设置 了 使 用 认证 的 域 ， 此 域 会 出 现在 显示 给 用 户 的 密码 提问 对 话 框 中 ， 其 
次 也 帮助 客户 端 程序 确定 应 该 发 送 哪个 密码 。 其 指令 格式 如 下 : 


域名 称 没有 特别 限制 ， 用 户 可 以 根据 自己 的 喜欢 进行 设置 。 


(2) AuthType 指令 
AuthType 指令 主要 用 于 选择 一 个 目录 的 用 户 认证 类 型 , 目前 只 有 两 种 认证 方式 可 以 选择 ， 
Basic 和 Digest 分 别 代 表 基 本 认证 和 摘要 认证 ， 该 指令 格式 如 下 : 


(3) AuthUserFile 指令 
AuthUserFile 指令 用 于 设 定 一 个 纯 文本 文件 的 名 称 ， 其 中 包含 用 于 认证 的 用 户 名 和 密码 的 
列表 ， 该 指令 格式 如 下 : 


(4) Require 指令 
Require 指令 用 于 设置 哪些 认证 用 户 允 许 访 问 指定 的 资源 。 这 些 限制 由 授权 支持 模块 实现 ， 
其 格式 有 下 面 两 种 : 


@@ 用户 名 : 认证 口令 文件 中 的 用 户 ， 可 以 指定 一 个 或 多 个 用 户 ,设置 后 只 有 指定 的 用 户 
才能 有 权限 进行 访问 。 
@ valid-user: 授权 给 认证 口令 文件 中 的 所 有 用 户 。 


现在 假设 网 站 管理 员 希 望 对 bm 目录 做 进一步 地 控制 配置 该 目录 只 有 经 过 验证 的 admin 
用 户 能 够 访问 ， 用 户口 令 存放 在 users.list 口令 认证 文件 中 。 要 实现 这 样 的 效果 ， 需 要 把 
www.test151.conf 配置 文件 中 的 配置 信息 蔡 换 为 下 面 的 内 容 ， 如 【示例 6-30】 所 示 。 


【示例 6-30】 


141 


重启 Apache 服务 后 , 在 客户 端 使 用 浏览 器 访问 http:Wwww.test151.com/ 进 行 测试 , 如 图 6.2 
所 示 。 输 入 用 户 名 和 密码 ， 单 击 【 确 定 】 按 钮 。 

验证 成 功 后 将 进入 如 图 6.3 所 示 的 页 面 ， 否则 将 会 要 求 重新 输入 。 如 果 单 击 【取消 】 按 钮 
将 会 返回 如 图 6.4 所 示 的 错误 页 面 。 


牛 上 "多 日 合 回 http:/Wwww test151 com/ 


Unauthorized 


This server could not verify that you are authorized to access the 
documont requested. Either you suppliod the wrong crodei 

(e.g., bad password), or your browser doesn't understand how to 
supply the credentials required. 


完成 
6.4 ”认证 错误 页 面 
3. .htaccess 设置 


.htaccess 文件 又 称 为 分 布 式 配置 文件 ， 该 文件 可 以 覆盖 httpd.conf 文件 中 的 配置 ， 但 是 它 
只 能 设置 对 目录 的 访问 控制 和 用 户 认 证 。.htaccess 文件 可 以 有 多 个 ， 每 个 .htaccess 文件 的 作用 
范围 仅 限 于 该 文件 所 存放 的 目录 以 及 该 目录 下 的 所 有 子 目录 。 虽 然 .htaccess 能 实现 的 功能 在 
<Directory> 段 中 都 能 够 实现 ， 但 是 因为 在 .htaccess 修改 配置 后 并 不 需要 重启 Apache 服务 就 能 
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生效 ， 所 以 在 一 些 对 停机 时 间 要 求 较 高 的 系统 中 可 以 使 用 。 
启用 .htaccess 文件 需要 做 以 下 设置 : 


(1) 打开 配置 文件 www.test151.conf， 将 目录 的 配置 信息 替换 为 下 面 的 内 容 ， 如 【示例 
6-31】 所 示 。 


【示例 6-31】 


修改 主要 包括 两 个 方面 : 

删除 原 有 的 关于 访问 控制 和 用 户 认证 的 参数 和 指令 ， 因 为 这 些 指 令 将 会 被 写 到 .htaccess 
文件 中 去 。 

添加 AllowOverride All 参数 ， 人 允许 .htaccess 文件 覆盖 httpd.conf 文件 中 关于 虚拟 主机 目录 
的 配置 。 如 果 不 做 这 项 设置 ，.htaccess 文件 中 的 配置 将 不 能 生效 。 


(2) 重启 Apache 服务 ， 在 /data/www/151/ 目 录 中 创建 一 个 文件 .htaccess， 如 【示例 6-32】 
所 示 。 


【示例 6-32】 


其 他 测试 过 程 与 上 一 节 类 似 ， 此 处 不 再 资 述 。 


日. MysQL 服务 的 安装 与 配置 


MySQL 可 以 支持 多 种 平台 ， 如 Windows、UNIX、FreeBSD 或 其 他 Linux 系统 。MySQL 
如 何 安装 ，MySQL 如 何 配置 ，MySQL 又 有 哪些 启动 方式 ，MySQL 服务 如 何 停止 。 要 了 解 这 
些 知 识 ， 就 要 阅读 本 节 的 内 容 。 
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由 于 MySQL 被 收购 ,现在 大 量 的 公司 将 原来 MySQL 的 解决 方案 改 为 MariaDB ,MariaDB 
| 是 MySQL 的 一 个 分 支 ， 与 其 完全 兼容 。 


6.2.1 MySQL 的 版 本 选择 

安装 MySQL 首先 确定 使 用 哪个 版 本 。MySQL 的 开发 有 几 个 发 布 系列 ， 可 以 选择 最 适合 
要 求 的 一 个 版 本 。MySQL 的 每 个 版 本 提供 了 二 进 制 版 本 和 源码 ， 开 发 者 可 以 自由 选择 安装 。 
在 最 新 的 5.6 版 本 中 ， 数 据 库 的 可 扩展 性 、 集 成 度 以 及 查询 性 能 都 得 到 提升 。 新 增 功能 包括 实 
现 全 文 搜索 , 开发 者 可 以 通过 InnoDB 存储 引擎 列表 进行 索引 和 搜索 基于 文本 的 信息 ; InnoDB 
重 写 日 志文 件 容量 也 增 至 2TB， 能 够 提升 写 密集 型 应 用 程序 的 负载 性 能 ， 加 速 MySQL 复制 ; 
提供 新 的 编程 接口 ， 使 用 户 可 以 将 MySQL 与 新 的 和 原 有 的 应 用 程序 以 及 数据 存储 无 颖 集成 。 
MySQL5.1 是 当前 稳定 并 且 使 用 广泛 的 发 布 系列 。 只 针对 漏洞 修复 重新 发 布 ; 没有 增加 会 影响 
稳定 性 的 新 功能 。MySQL4.x 是 旧 的 稳定 发 布 系列 。 目 前 只 有 少量 用 户 使 用 。 

本 章 将 以 MySQL5.1.71 版 本 为 例 说 明 MySQL 的 安装 和 使 用 。 安 装 之 前 有 必要 了 解 下 
MySQL 的 版 本 命名 机 制 。 


6.2.2 MySQL 的 版 本 命名 机 制 

MySQL 的 版 本 命名 机 制 使 用 由 数字 和 一 个 后 级 组 成 的 版 本 号 。 如 mysql-5.1.71 版 本 号 这 

第 1 个 数字 5 是 主 版 本 号 ， 相 同 主 版 本 号 具有 相同 的 文件 格式 。 

第 2 个 数字 1 是 发 行 级 别 。 主 版 本 号 和 发 行 级 别 组 合 到 一 起 便 构 成 了 发 行 序列 号 。 

第 3 个 数字 71 是 在 此 发 行 系列 的 版 本 号 ， 随 每 个 新 分 发 版 本 递增 。 

同时 版 本 号 可 能 包含 后 级 ， 如 alpha、beta 和 rc。 

alpha 表明 发 行 包含 大 量 未 被 彻底 测试 的 新 代码 , 包含 新 功能 ， 一般 作 为 新 功能 体验 使 用 。 
beta 意味 着 该 版 本 功能 是 完整 的 ， 并 且 所 有 的 新 代码 被 测试 ， 没有 增加 重要 的 新 特征 , 没有 已 
知 的 缺陷 。rc 是 发 布 版 本 ， 表 示 一 个 发 行 了 一 段 时 间 的 beta 版 本 ， 运 行 正常 ， 只 增加 了 很 小 
的 修复 。 如 果 没 有 后 级 ， 如 mysql-5.1.71-linux-i686-icc-glibc23.tar， 这 意味 着 该 版 本 已 经 在 很 
多 地 方 运 行 一 段 时 间 了 ， 而 且 没有 非 平台 特定 的 缺陷 报告 ， 可 以 认为 是 稳定 版 。 


6.2.3 ”MySQL rpm 包 安 装 

MySQL 的 安装 可 以 通过 源码 或 rpm 包 安 装 ， 如 要 避免 编译 源 代码 的 复杂 配置 ， 可 以 使 用 
rpm 包 安 装 。 但 在 CentOS 7 光盘 中 没有 MySQL 安装 包 ， 所 以 无 法 通过 光盘 进行 安装 ， 这 里 
将 使 用 yum 安装 源 的 方式 进行 安装 ， 如 【示例 6-33】 所 示 。 

【示例 6-33】 

# 下 载 安装 源 
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如 需 查看 每 个 安装 包 包 含 的 详细 文件 列表 ,可 以 使 用 “rpm -ql 软件 名 ”查看 ， 该 命令 列 
出 了 当前 rpm 包 的 文件 列表 及 安装 位 置 ， 如 【示例 6-34】 所 示 。 


【示例 6-34】 


从 上 面 的 命令 输出 中 可 以 看 到 软件 文件 中 包含 mysqld.service， 此 文件 就 是 MySQL 的 启 
动 停止 控制 单元 。 


6.2.4 ”MySQL 源码 安装 
用 户 可 以 从 http://dev.mysql.com/Downloads/ 下 载 最 新 稳定 版 的 源 代码 , 本 章 以 5.6.24 为 例 
说 明 MySQL 的 安装 过 程 ， 其 他 版 本 的 安装 过 程 类 似 ， 如 【示例 6-35】 所 示 。 


【示例 6-35】 
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上 述 示 例 表示 将 MySQL 软件 安装 到 /usr/local/mysql 目录 下 ， 本 示例 中 使 用 的 参数 及 其 含 


义 如 下 : 


CMAKE INSTALL PREFIX: 表示 将 MySQL 安装 到 何 处 ， 此 例 中 将 安装 到 
/usr/local/mysql 目录 中 。 

MYSQL_DATADIR: 表示 MySQL 的 数据 文件 存放 目录 。 

SYSCONFDIR: 配置 文件 所 在 目录 。 

WITH _MYISAM_ STORAGE ENGINE: 将 MyISAM 存储 引擎 编译 到 服务 中 。 
WITH _INNOBASE_ STORAGE _ENGINE: 将 InnoDB 存储 引擎 编译 到 服务 中 。 
ENABLED_LOCAL INFILE: 指定 是 否 允 许 本 地 执行 LOAD DATA INFILE。 
MYSQL _TCP_ PORT: 默认 使 用 的 端口 。 

WITH_PARTITION_ STORAGE_ENGINE: 将 分 区 引擎 编译 到 服务 中 。 
EXTRA_CHARSETS: 让 服务 支持 所 有 扩展 字符 集 。 

DEFAULT_CHARSET: 服务 使 用 的 默认 字符 集 ， 此 处 设置 为 utf8。 
DEFAULT_COLLATION: 默认 的 排序 规则 。 


编译 安装 MySQL 时 有 许多 参数 ， 这 些 参数 的 详细 含义 和 说 明 可 以 在 官方 网 站 中 查找 : 
http://dev.mysql.com/doc/refman/5.6/en/source-configuration-options.html 。 

完成 上 述 安装 步骤 还 不 够 ， 还 需要 为 MySQL 添加 配置 选项 、 启 动 停止 脚本 等 ， 一 个 简单 
的 示例 如 【6-36】 所 示 。 


【示例 6-36】 
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雷 本 小 节 仅 简单 介绍 配置 文件 等 内 容 ， 在 后 继 小 节 中 将 详细 介绍 这 些 内 容 。 | 


6.2.5 ”MySQL 程序 介绍 
MySQL 版 本 中 提供 了 几 种 类 型 的 命令 行 运用 程序 ， 主 要 有 以 下 几 类 : 
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(1) MySQL 服务 器 和 服务 器 启动 脚本 
@ mysqld 是 MySQL 服务 器 主 程序 ; 
@ mysqld safe、mysql.server 和 mysqld_multi 是 服务 器 启动 脚本 ; 
@ mysql_install db 是 初始 化 数据 目录 和 初始 数据 库 。 


(2) 访问 服务 器 的 客户 程序 

mysql 是 一 个 命令 行 客户 程序 ， 用 于 交互 式 或 以 批 处 理 模式 执行 SQL 语句 ; 
mysqladmin 是 用 于 管理 功能 的 客户 程序 ; 

mysqlcheck 执行 表 维 护 操作 ; 

mysqldump 和 mysqlhotcopy 负责 数据 库 备份 ; 

mysqlimport 导入 数据 文件 ; 

mysqlshow 显示 信息 数据 库 和 表 的 相关 信息 ; 

mysqldumpslow 分 析 慢 查询 日 志 的 工具 。 


(3) 独立 于 服务 器 操作 的 工具 程序 

myisamchk 执行 表 维护 操作 ; 

myisampack 产生 压缩 、 只 读 的 表 ; 
mysqlbinlog 查看 二 进 制 日 志文 件 的 实用 工具 ; 
@ perror 显示 错误 代码 的 含义 。 


除了 上 面 介绍 的 这 些 随 MySQL 一 起 发 布 的 命令 行 工具 外 ， 另 外 有 一 些 GUI 工具 ， 需 单 
独 下 载 使 用 。 


6.2.6 ”MySQL 配置 文件 介绍 
如 使 用 rpm 包 安 装 ，MySQL 的 配置 文件 位 于 /etc/my.cnf，MySQL 配置 文件 的 搜索 顺序 可 
以 使 用 以 下 命令 查看 ， 如 【示例 6-37】 所 示 。 


【示例 6-37】 


上 述 示例 结果 表示 该 版 本 的 MySQL 搜索 配置 文件 的 路 径 依次 为 /etc/mysqlymy.cnf 
/etc/my.cnf ~/.my.cnf。 即 先 查找 /etc/mysqlmy.cnf， 如 果 找 到 则 使 用 此 配置 文件 ， 和 否则 继续 查找 
/etc/my.cnf， 直 到 找到 有 效 的 配置 文件 为 止 。 为 便于 管理 ， 在 只 有 一 个 MySQL 实例 的 情况 下 
一 般 将 配置 文件 部 署 在 /etc/my.cnf 中 。 

MySQL 配置 文件 常用 选项 (mysqld 选项 段 ) 说 明 如 表 6.2 所 示 。 
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表 6.2 ”MySQL 配置 文件 常用 参数 说 明 


参数 说 明 

bind-address MySQL 实例 启动 后 绑 定 的 人 P 

port MySQL 实例 启动 后 监听 的 端口 

Socket 本 地 socket 方式 登录 MySQL 时 socket 文 件 路 径 
datadir MySQL 数据 库 相 关 的 数据 文件 主 目 录 

tmpdir MySQL 保存 临时 文件 的 路 径 

skip-external-locking 跳 过 外 部 锁定 

back log 在 MySQL 的 连接 请 求 等 待 队 列 中 允许 存放 的 最 大 连接 数 
character-set-server MySQL 默认 字符 集 

key_buffer size 索引 缓冲 区 ， 决 定 了 myisam 数据 库 索引 处 理 的 速度 
max_connections MySQL 允许 的 最 大 连接 数 

max_connect_errors 客户 端 连 接 指定 次 数 后 ， 服 务 器 将 屏蔽 该 主机 的 连接 
table_cache 设置 表 高 速 缓存 的 数量 


max_allowed_packet 
binlog cache size 
sort_buffer_size 
join_buffer size 
thread_cache_size 
thread_concurrenc 
query_cache size 
query_cache limit 
ft min word_len 
thread_stack, 
transaction_isolation 
tmp_table_size 

net buffer length 


read_buffer size 


网 络 传输 中 ， 一 次 消息 传输 量 的 最 大 值 

在 事务 过 程 中 容纳 二 进 制 日 志 SQL 语句 的 缓存 大 小 
用 来 完成 排序 操作 的 线程 使 用 的 缓冲 区 大 小 

将 为 两 个 表 之 间 的 每 个 完全 连接 分 配 连 接 缓冲 区 
线程 缓冲 区 所 能 容纳 的 最 大 线程 个 数 

限制 了 一 次 有 多 少 线程 能 进入 内 核 

为 缓存 查询 结果 分 配 的 内 存 的 数量 

如 查询 结果 超过 此 参数 设置 的 大 小 将 不 进行 缓存 
加 入 索引 的 词 的 最 小 长 度 

每 个 连接 创建 时 分 配 的 内 存 

MySQL 数据 库 事务 隔离 级 别 

临时 表 的 最 大 大 小 

服务 器 和 客户 之 间 通 信使 用 的 缓冲 区 长 度 

对 数据 表 作 顺序 读 取 时 分 配 的 MySQL 读 入 缓冲 区 大 小 


read rnd_buffer size 是 MySQL 随机 读 缓冲 区 大 小 

max_heap_table size HEAP 表 人 允许 的 最 大 值 

default-storage-engine MySQL 创建 表 时 默认 的 字符 集 

log-bin MySQL 二 进 制 文件 binlog 的 路 径 和 文件 名 
server-id 主 从 同步 时 标识 唯一 的 MySQL 实例 

slow query log 是 否 开启 慢 查 询 ， 为 1 表示 开启 

long_ query time 超过 此 值 则 认为 是 慢 查询 ， 记 录 到 慢 查 询 日 志 


log-queries-not-using-indexes 


如 SQL 语句 没有 使 用 索引 ， 则 将 SQL 语句 记录 到 慢 查 询 日 志 


expire-logs-days 


MySQL 二 进 制 文件 binlog 保留 的 最 长 时 间 


replicate wild ignore table 


replicate_wild_ do_table 


MySQL 主 从 同步 时 忽略 的 表 
与 replicate_ wild ignore table 相反 ， 指 定 MySQL 主 从 同步 时 需要 同步 的 表 


innodb data home dir 


InnoDB 数据 文件 的 目录 
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( 续 表 ) 
参数 说 明 
innodb file per table 启用 独立 表 空间 
innodb data file path Innodb 数据 文件 位 置 


innodb log group home dir 


用 来 存放 InnoDB 日 志文 件 的 目录 路 径 


innodb additional mem_ 


pool_size 


InnoDB 存储 的 数据 目录 信息 和 其 他 内 部 数据 结构 的 内 存 池 大 小 


innodb _ buffer pool size 


InnoDB 存储 引擎 的 表 数据 和 索引 数据 的 最 大 内 存 缓冲 区 大 小 


innodb file io_threads IO 操作 的 最 大 线程 个 数 
innodb thread concurenec' Innodb 并 发 线程 数 
innodb flush log at trx_ Innodb 日 志 提交 方式 


commit 

innodb log buffer size 
innodb log file size 
innodb log files in group 


innodb_max_dirty_ pages_pct 


innodb lock wait timeout 
slave_compressed_protocol 
Skip-name-resolye 


InnoDB 日 志 缓 冲 区 大 小 

InnoDB 日 志文 件 大 小 

Innodb 日 志 个 数 

当 内 存 中 的 脏 页 量 达到 innodb_buffer_pool 大 小 的 该 比例 (%) 时 ， 刷 新 脏 
页 到 磁盘 

InnoDB 行 锁 导致 的 死 锁 等 待 时 间 

主 从 同步 时 是 否 采用 压缩 传输 binlog 

跳 过 域名 解析 


不 同 版 本 的 配置 文件 参数 及 使 用 方法 略 有 不 同 , 具体 可 参考 官方 网 站 帮助 文档 。 如 果 选 项 


名 称 配置 错误 ，MySQL 将 不 能 启动 。 


6.2.7 MySQL 启动 与 停止 

MySQL 服务 可 以 通过 多 种 方式 启动 ， 常 见 的 是 利用 MySQL 提供 的 系统 服务 脚本 启动 ， 
另外 一 种 是 通过 命令 行 mysqld_safe 启动 。 

1. 通过 系统 服务 启动 与 停止 


如 使 用 yum 工具 安装 ，rpm 包 会 自动 将 MySQL 设置 为 系统 服务 ， 同 时 可 以 利用 “service 
mysqld start” 启 动 ， 查 看 MySQL 是 否 为 系统 服务 可 以 使 用 下 面 的 命令 ， 如 示例 6-38 所 示 。 


【示例 6-38】 


[root@CentOs mysql]# systemct1 list-unit-files | grep mysqld 


mysqld.service 


disabled 


[root@CentOSs mysql]# systemct1 enable mysqld.service 

ln -s '/usr/lib/systemd/system/mysqld.service' 
'/etc/systemd/system/mysql .service' 

ln -s '/usr/lib/systemd/system/mysqld.service' 
'/etc/systemd/system/multi-user.target .wants/mysqld.service' 
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首先 利用 systemctl list-unit-files 查看 系统 服务 ， 显 示 结果 为 disable， 表 示 MySQL 并 没有 


设置 为 开机 自动 启动 模式 。 可 以 通过 systemctl enable mysqld.service 将 mysqld 系统 服务 设置 为 
开机 自动 启动 。 


经 过 上 述 步 又，MySQL 成 为 系统 服务 并 且 开 机 自动 启动 ， 如 需 启动 或 停止 MySQL， 可 
以 使 用 【示例 6-39】 中 的 命令 。 


【示例 6-39】 
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查看 了 通过 rpm 包 安 装 后 的 配置 文件 内 容 ， 分 别 指定 了 datadir socket 和 启动 后 以 什么 用 
户 运行 ， 然 后 利用 系统 服务 启动 MySQL， 命 令 为 “systemectl start mysqld.service ”， 启 动 后 利 
用 利用 “systemctl status mysqld.service” 或 ps 命令 查看 MySQL 服务 状态 。 同 时 ps 命令 显示 
了 更 多 的 信息 。 
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如 果 MySQL 服务 后 查看 相关 的 数据 目录 和 文件 ， 除 通过 配置 文件 外 ， 可 以 通过 ps 命令 


查看 ， 如 上 述 示例 中 的 datadir 位 于 /var/lib/mysql 目录 下 。 


MySQL 成 功 启动 后 可 以 进行 正常 的 操作 了 , 初始 化 用 户 名 为 "root ” 密码 为 空 。 使 用 mysql 
=-uroot” 可 以 成 功 登录 mysql。 


如 需 停 止 MySQL， 可 以 通过 “systemctl stop mysqld.service ”的 方式 停止 MySQL。 

2. 利用 mysqld_safe 程序 启动 和 停止 MySQL 服务 

如 同一 系统 中 存在 多 个 MySQL 实例 ， 使 用 MySQL 提供 的 系统 服务 已 经 不 能 满足 要 求 ， 
这 时 可 以 通过 MySQL 安装 程序 提供 的 mysqld_safe 程序 启动 和 停止 MySQL 服务 。 

由 于 /varlib/mysql 为 MySQL 服务 的 默认 数据 目录 , 同时 可 以 通过 配置 指定 其 他 数据 目录 。 


假设 MySQL 数据 文件 目录 位 于 /data/mysql_data_3307， 端口 设置 为 3307,【 示 例 6-40】 演示 了 
设置 启动 和 停止 过 程 。 


【示例 6-40】 
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上 述 示例 首先 创建 了 启动 MySQL 服务 需要 的 数据 目录 /data/mysql_data 3307， 创 建 完成 
后 通过 chown 将 目录 权限 赋 给 mysql 用 户 和 mysql 用 户 组 。 

mysql_install_db 程序 用 于 初始 化 MySQL 系统 表 , 比如 权限 管理 相关 的 mysql.user 表 等 等 ， 
初始 化 完成 以 后 利用 mysqld_safe 程序 启动 ， 由 于 此 示例 并 没有 使 用 配置 文件 ， 需 要 设置 的 参 
数 通过 命令 行 参数 指定 ， 没 有 设置 的 参数 则 为 默认 值 。 

系统 启动 完成 后 可 以 通过 本 地 socket 方式 登录 ， 另 外 一 种 登录 方式 为 TCP 方式 登录 ， 这 
点 将 在 下 一 节 介 绍 ， 登 录 命 令 为 “mysql-S /data/mysql_data_ 3307/mysql.sock -u root”。 登录 完 
成 后 第 1 行为 欢迎 信息 ， 第 2 行 显示 了 MySQL 服务 给 当前 连接 分 配 的 连接 ID，ID 用 于 标识 
唯一 的 连接 。 接 着 显示 的 为 MySQL 版 本 信息 ,然后 是 版 权 声 明 。 同 时 给 出 了 查看 系统 帮助 的 
方法 。“\s” 命 令 显示 了 MySQL 服务 的 基本 信息 ， 如 字符 集 ， 启 动 时 间 ， 查 询 数 量 ， 打 开 表 的 
数量 等 等 ， 更 多 的 信息 可 以 查阅 MySQL 帮助 文档 。 

以 上 示例 演示 了 如 何 通过 mysqld_safe 命令 启动 MySQL 服务 ， 如 需 停止 ， 可 以 使 用 【 示 
例 6-41】 中 的 方法 。 


【示例 6-41】 


通过 命令 mysqladmin 可 以 方便 地 控制 MySQL 服务 的 停止 。 同 时 mysqladmin 支持 更 多 的 
参数 ， 比 如 查看 系统 变量 信息 ， 查 看 当前 服务 的 连接 等 ， 更 多 信息 可 以 通过 
“mysqladmin -help” 命 令 查看 。 
除 通 过 本 地 socket 程序 可 以 停止 MySQL 服务 外 , 还 可 以 通过 远程 TCP 停止 MySQL 服务 ， 
前 提 为 该 账号 具有 shutdown 权限 ， 如 【示例 6-42】 所 示 。 


【示例 6-42】 


157 


CentOS 7 系统 管理 与 运 维 实战 


和 shutdown 等 权限 的 用 户 可 以 远程 停止 MySQL 服务 ， 因 此 日 党 应 用 中 应 该 避免 
”分配 具有 此 权限 的 账户 。 


旬 . 了 PHP 安装 与 配置 


PHP 的 安装 同样 需要 经 过 环境 检查 、 编 译 和 安装 3 个 步骤 ， 本 节 采 用 的 PHP 版 本 为 
php-5.4.16.targz， 安 装 过 程 如 【示例 6-43 】 所 示 。 


【示例 6-43】 


“--enable-fastcgi” 含 义 为 开启 PHP 的 FastCGI 支持 ， 另 外 一 种 开启 FastCGI 支持 的 方式 
为 指定 “--enable-fpm” 人 参数 。 


日 .ALAMP 集成 安装 、 配 置 与 测试 实战 


上 面 章节 已 经 分 别 介绍 了 MySQL、Apache 的 安装 与 设置 。 本 节 主 要 介绍 Linux 环境 下 利 
用 源码 Apache、MySQL、PHP 的 集成 环境 的 安装 过 程 。 

PHP 为 “Professional Hypertext Preprocessor” 的 缩写 ， 最 新 发 布 版 本 为 5.6.7， 此 版 本 包含 
了 大 量 的 新 功能 和 bug 修复 ， 特 别 注意 的 一 点 是 不 再 支持 Windows XP 和 2003 系统 。PHP 具 
有 非常 强大 的 功能 ， 所 有 的 CGI 的 功能 PHP 都 能 实现 ， 支 持 几 乎 所 有 流行 的 数据 库 以 及 操作 
系统 。 和 其 他 技术 相 比 ，PHP 本 身 免费 且 是 开源 代码 。 因 为 PHP 可 以 被 嵌入 于 HTML 语言 ， 
它 相 对 于 其 他 语言 ， 编 辑 简单 ， 实 用 性 强 ， 更 适合 初学 者 。PHP 运行 在 服务 器 端 ， 可 以 部 署 
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在 UNIX、Linux、Windows、Mac OS 下 。 另 外 PHP 支持 面向 对 象 编程 。 本 节 主 要 以 php5.4.16 
源码 安装 为 例 说 明 PHP 的 安装 过 程 ， 因 不 同 版 本 之 间 有 特定 差别 ， 需 要 根据 业务 特性 选择 合 
适 的 版 本 。 

从 源 代码 安装 Apache、MySQL、PHP，PHP 用 户 可 以 从 http://www.php.net 下 载 最 新 稳定 
版 的 源 代码 ，php 可 以 支持 很 多 扩展 ， 本 节 软 件 安 装 涉及 的 软件 包 列 表 如 【示例 6-44】 所 示 。 


【示例 6-44】 


安装 过 程 如 实例 【6-45】 所 示 。 
【示例 6-45】 
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经 过 以 上 的 步骤 ，Apache、MySQL 和 PHP 环境 需要 的 软件 已 经 安装 完毕 ， 如 需 Apache 
支持 PHP， 还 需 做 以 下 设置 。 修 改 httpd.conf 加 入 以 下 配置 ， 如 【示例 6-46】 所 示 。 


【示例 6-46】 


然后 像 6.1.3 小 节 中 那样 配置 /etc/hosts 设置 域名 解析 和 虚拟 主机 文件 ， 配 置 虚拟 主机 文件 
如 【示例 6-47】 所 示 。 


【示例 6-47】 
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重启 Apache 服务 ， 然 后 编辑 测试 脚本 ， 如 【示例 6-48】 所 示 。 
【示例 6-48】 


然后 可 以 进行 浏览 器 的 测试 了 ， 输 入 http://www.testdomain.com/test.php 访问 ， 浏 览 器 中 
显示 如 图 6.5 所 示 ， 说 明 PHP 已 经 安装 成 功 了 。 


6.5 PHP 测试 页 面 


各 .5 MysQL 日 常 维护 


搭建 好 LAMP 后 ， 还 要 注意 MySQL 的 日 常 维护 ， 包 含 权 限 管理 、 日 志 管理 、 备 份 与 恢 
复 和 复制 等 ， 本 节 主 要 介绍 这 方面 的 知识 。 


6.5.1 MySQL 权限 管理 

MySQL 权限 管理 基于 主机 名 、 用 户 名 和 数据 库 表 ， 可 以 根据 不 同 的 主机 名 、 用 户 名 和 数 
据 库 表 分 配 不 同 的 权限 。 当 用 户 连接 至 MySQL 服务 器 后 ,权限 即 被 确定 ， 用 户 只 能 做 权限 内 
的 操作 。 
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MySQL 账户 权限 信息 被 存储 在 MySQL 数据 库 的 user、 db、 host、 tables_priv、columns_priv 
procs_priv 表 中 ， 在 MySQL 启动 时 服务 器 将 这 些 数 据 库 表 内 容 读 入 内 存 。 要 修改 一 个 用 户 
的 权限 ,可 以 直接 修改 上 面 的 几 个 表 , 也 可 以 使 用 GRANT 和 REVOKE 语句 ,推荐 使 用 后 者 。 
如 需 添加 新 账号 ， 可 以 使 用 GRANT 语句 ，MySQL 的 常见 权限 说 明 如 表 6.3 所 示 。 


党 


表 6.3 MySQL 权限 说 明 


$ 
洋 


说 明 

创建 数据 库 、 表 
删除 数据 库 、 表 
可 以 对 用 户 授权 的 权限 

可 以 创建 外 键 

修改 数据 库 、 表 的 属性 

在 表 中 删除 数据 
创建 和 删除 索引 

向 表 中 添加 数据 

从 表 中 查询 数据 
修改 表 的 数据 

创建 视图 

显示 视图 的 定义 

修改 存储 过 程 

创建 存储 过 程 

执行 存储 过 程 

读 、 写 服务 器 上 的 文件 
创建 临时 表 

锁定 表格 

创建 用 户 

管理 服务 器 和 客户 连接 进程 
重 载 服务 

用 于 复制 

用 于 复制 


CREATE 

DROP 

GRANT OPTION 

REFERENCES 

ALTER 

DELETE 

INDEX 

INSERT 

SELECT 

UPDATE 

CREATE VIEW 

SHOW VIEW 

ALTER ROUTINE 

CREATE ROUTINE 

EXECUTE 

FILE 

CREATE TEMPORARY TABLES 
LOCK TABLES 

CREATE USER 

PROCESS 

RELOAD 

REPLICATION CLIENT 
REPLICATION SLAVE 

SHOW DATABASES 显示 数据 库 
SHUTDOWN 关闭 服务 器 
SUPER 超级 用 户 


1. 分 配 账号 

如 主机 192.168.1.12 需要 远程 访问 MySQL 服务 器 的 account.users 表 ， 权 限 为 SELECT 和 
UPDATE， 则 可 以 使 用 以 下 命令 分 配 ， 操 作 过 程 如 【示例 6-49】 所 示 。 

【示例 6-49】 

# 分 配 用 户 名 、 密 码 和 对 应 权限 
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上 述 示例 为 MySQL 服务 器 给 远程 主机 192.168.1.12 分 配 了 访问 表 accoutusers 的 查询 和 更 
新 权限 。 当 用 户 登 录 时 ， 首 先 检查 user 表 ， 发 现 对 应 记录 ， 但 由 于 各 个 权限 都 为 “N“， 因 此 
继续 寻找 db 表 中 的 记录 ， 如 没有 则 继续 寻找 tables_priv 表 中 的 记录 ， 通 过 对 比 发 现 当前 连接 
的 账户 具有 account.users 表 的 SELECT 和 UPDATE 权限 ， 权 限 验证 通过 ， 用 户 成 功 登 录 。 


MySQL 权限 按照 user 一 db 一 tables_priv 一 columns_priv 检查 的 顺序 , 如 果 user 表 中 对 应 的 
权限 为 “Y”， 则 不 会 检查 后 面 表 中 的 权限 。 


2. 查看 或 修改 账户 权限 
如 需 查 看 当前 用 户 的 权限 ， 可 以 使 用 SHOW GRANTS FOR 命令 ， 如 【示例 6-50】 所 示 。 


【示例 6-50】 
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上 述 示例 通过 查看 指定 账户 和 主机 的 权限 ，user1@192.168.1.12 具有 的 权限 为 三 条 记录 的 
综合 。 密 码 为 经 过 MD5 算法 加 密 后 的 结果 。USAGE 权限 表示 当前 用 户 只 具有 连接 数据 库 的 
权限 ， 但 不 能 操作 数据 库 表 ， 其 他 记录 表示 该 账户 具有 表 “bbs.*” 和 表 account.users 的 查询 
和 更 新 权限 。 


MySQL 用 户 登录 成 功 后 权限 加 载 到 内 存 中 ， 此 时 如 果 在 另 一 会 话 中 更 改 该 账户 的 权限 并 


不 会 影响 之 前 会 话 中 用 户 的 权限 ， 如 需 使 用 最 新 的 权限 ， 用 户 需要 重新 登录 。 


3. 回收 账户 权限 


如 需 回收 账户 的 权限 ，MySQL 提供 了 REVOKE 命令 ， 可 以 对 应 账户 的 部 分 或 全 部 权限 ， 
注意 此 权限 操作 的 账户 需 具有 GRANT 权限 。 使 用 方法 如 【示例 6-51】 所 示 。 


【示例 6-51】 


账户 所 有 权限 回收 后 用 户 仍然 可 以 连接 该 MySQL 服务 器 ， 如 需 彻底 删除 用 户 ， 可 以 使 用 
DROP USER 命令 ， 如 【示例 6-52】 所 示 。 


【示例 6-52】 


6.5.2 ”MySQL 日 志 管 理 


MySQL 服务 提供 了 多 种 日 志 用 于 记录 数据 库 的 各 种 操作 ， 通 过 日 志 可 以 追踪 MySQL 服 
务 器 的 运行 状态 ， 及 时 发 现 服务 运行 中 的 各 种 问题 。MySQL 服务 支持 的 日 志 有 二 进 制 日 志 、 
错误 日 志 、 访 问 日 志和 慢 查 询 日 志 。 
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1. 二 进 制 日 志 


二 进 制 日 志 也 通常 被 称 为 binlog,， 记 录 了 数据 库 表 的 所 有 DDL 和 DML 操作 ， 但 并 不 包 
括 数据 查询 语句 。 

如 需 启 用 二 进 制 日 志 ， 可 以 通过 在 配置 文件 中 添加 “--log-bin=[file-name]” 选 项 指定 二 进 
制 文 件 存放 的 位 置 ， 位 置 可 以 为 相对 路 径 或 是 绝对 路 径 。 

由 于 binlog 以 二 进 制 方式 存储 ,如 需 查看 其 内 容 需要 通过 MySQL 提供 的 工具 mysqlbinlog 
查看 ， 如 【示例 6-53】 所 示 。 


【示例 6-53】 
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第 5 行 记 录 了 当前 MySQL 服务 的 server-id、 偏 移 量 、binlog 版 本 、MySQL 版 本 等 信息 ， 
第 26~28 行 则 记录 了 执行 的 SQL 及 时 间 。 

如 需 删 除 binlog， 可 以 使 用 “purge binary logs” 命 令 ， 该 命令 可 以 指定 删除 的 binlog 序号 
或 删除 指定 时 间 之 前 的 日 志 ， 如 【示例 6-54】 所 示 。 


【示例 6-54】 


除 通 过 以 上 方法 外 ， 可 以 在 配置 文件 中 指定 “expire_logs_days=#” 人 参数 设置 二 进 制 文件 
的 保留 天 数 ， 此 参数 也 可 以 通过 MySQL 变量 设置 ， 如 需 删 除 7 天 之 前 的 binlog， 可 以 使 用 【 示 
例 6-55】 的 命令 。 


【示例 6-55】 


此 参数 设置 了 binlog 日 志 的 过 期 天 数 , 此 时 MySQL 可 以 自动 清理 指定 天 数 之 前 的 二 进 制 
日 志文 件 。 


2. 操作 错误 日 志 


MySQL 的 操作 错误 日 志 记 录 了 MySQL 启动 、 运 行 至 停止 过 程 中 的 相关 异常 信息 ， 在 
MySQL 故障 定位 方面 有 重要 的 作用 。 

可 以 通过 在 配置 文件 中 设置 “--log-error=[file-name]” 指 定 错误 日 志 存 放 的 位 置 ， 如 没有 
设置 ， 则 错误 日 志 默认 位 于 MySQL 服务 的 datadir 目录 下 。 

一 段 错误 日 志 如 示例 【示例 6-56】 所 示 。 


【示例 6-56】 
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以 上 日 志 信 息 记录 了 第 1 次 运行 MySQL 时 的 错误 信息 , 其 中 第 2~3 行 的 错误 信息 说 明 在 
启动 MySQL 之 前 并 没有 初始 化 MySQL 系统 表 ， 错 误 码 13 对 应 的 错误 提示 可 以 使 用 命令 
“perror 13” 查 看 。 第 21~23 行 则 说 明 系 统 中 已 经 启动 了 同样 端口 的 实例 ， 当 前 启动 的 MySQL 
实例 将 自动 退出 。 


3. 访问 日 志 


此 日 志 记 录 了 所 有 关于 客户 端 发 起 的 连接 、 查 询 和 更 新 语句 ， 由 于 其 记录 了 所 有 操作 , 在 
相对 繁忙 的 系统 中 建议 将 此 设置 关闭 。 

该 日 志 可 以 通过 在 配置 文件 中 设置 “--log=[file-name]” 指 定 访问 日 志 存 放 的 位 置 ， 另 外 
一 种 方法 可 以 在 登录 MySQL 实例 后 通过 设置 变量 启用 此 日 志 ， 如 【示例 6-57】 所 示 。 


【示例 6-57】 
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如 果 没 有 指定 [file-name]， 则 默认 为 主机 名 (hostname) 做 为 文件 名 ， 默 认 存放 在 数据 目录 
中 。 文 件 记 录 内 容 如 【示例 6-58】 所 示 。 


【示例 6-58】 


上 述 日 志 记录 了 所 有 客户 端的 操作 ， 系 统管 理 员 可 根据 此 日 志 发 现 异 常 信息 以 便 及 时 处 理 。 


4. 慢 查询 日 志 


慢 查 询 日 志 是 记录 了 执行 时 间 超 过 参数 long_query_time (单位 是 秒 ) 所 设 定 值 的 SQL 语 
名 日 志 ， 对 于 SQL 审核 和 开发 者 发 现 性 能 问题 及 时 进行 应 用 程序 的 优化 具有 重要 意义 。 

如 需 启 用 该 日 志 可 以 在 配置 文件 中 设置 “slow_query log” 用 来 指定 是 否 开启 慢 查 询 。 如 
果 没 有 指定 文件 名 ， 默 认 hostname-slow.log 作为 文件 名 ， 并 存放 在 数据 目录 中 。 示 例 配置 如 
下 所 示 。 
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【示例 6-59】 


说 明 : 

long_query_time = 1 # 定 义 超过 1 秒 的 查询 计数 到 变量 Slow_queries。 

log-slow-queries = /usr/local/mysql/data/slow.log # 定 义 慢 查 询 日 志 路 径 。 

log-queries-not-using-indexes # 未 使 用 索引 的 查询 也 被 记录 到 慢 查 询 日 志 中 (可 选 〉。 

MySQL 提供 了 慢 查 询 日 志 分 析 的 工具 mysqldumpslow， 可 以 按时 间或 出 现 次 数 统计 慢 查 
询 的 情况 ， 常 用 参数 如 表 6.4 所 示 。 


表 6.4 mysqldumpslow 参数 说 明 


排序 参数 ， 可 选 的 有 : 
al: 平均 锁定 时 间 


ar: 平均 返回 记录 数 


at: 平均 查询 时 间 
只 显示 指定 的 行 数 


用 此 工具 就 可 以 分 析 系 统 中 哪些 SQL 是 性 能 的 瓶颈 ， 以 便 进行 优化 ， 比 如 加 索引 、 优 化 
应 用 程序 等 等 。 


6.5.3 MySQL 备份 与 恢复 

为 防止 数据 库 数 据 丢 失 或 被 非法 算 改 时 恢复 数据 ， 数 据 库 的 备份 是 非常 重要 的 。MySQL 
的 备份 方式 可 以 通过 直接 备份 数据 文件 或 使 用 mysqldump 命令 将 数据 库 数据 导出 到 文本 文件 。 
直接 备份 数据 库 文件 适用 于 MyISAM 和 InnoDB 存储 引擎 ， 由 于 备份 时 数据 库 表 正在 读 写 ， 
备份 出 的 文件 可 能 损坏 无 法 使 用 , 不 推荐 直接 使 用 此 方法 。 另外 一 种 可 以 实时 备份 的 开源 工具 
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为 xtrabackup， 本 节 主 要 介绍 这 两 种 备份 工具 的 使 用 。 
1. 使 用 mysqldump 进行 MySQL 备份 与 恢复 


mysqldump 是 MySQL 提供 的 数据 导出 工具 ,适用 于 大 多 数 需要 备份 数据 的 场景 。 表 数据 
可 以 导出 成 SQL 语句 或 文本 文件 ， 常 用 的 使 用 方法 如 【示例 6-60】 所 示 。 


【示例 6-60】 


mysqldump 支持 丰富 的 选项 ，mysqldump 部 分 选项 说 明 如 表 6.5 所 示 。 


表 6.5 mysqldump 部 分 选项 说 明 


说 明 
在 每 个 表 导 出 之 前 增加 LOCK TABLES 并 且 之 后 UNLOCK TABLE， 默 认为 启 
用 状态 


等 同 于 --complete-insert， 导 出 时 使 用 完整 的 insert 语句 


等 同 于 -no-daa， 不 导出 任何 数据 ， 只 导出 数据 库 表 结构 
tables 此 参数 会 得 六 -databases (-B) 参 数 ， 指 定 需要 导出 的 表 名 
w 等 同 于 WHERE， 只 导出 给 定 的 WHERE 条 件 选择 的 记录 


以 上 给 出 了 mysqldump 常用 参数 说 明 ， 更 多 的 参数 含义 说 明 可 参考 系统 帮助 “man 
mysqldump”。 
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2. 使 用 Xtrabackup 在 线 备份 


使 用 mysqldump 进行 数据 库 或 表 的 备份 非常 方便 ， 操 作 简单 使 用 灵活 ， 在 小 数据 量 时 备 
份 和 恢复 时 间 可 以 接受 ， 如 果 数 据 量 较 大 ，mysqldump 恢复 的 时 间 会 很 长 而 难以 接受 。 
xtrabackup 是 一 款 高 效 的 备份 工具 ， 备 份 时 并 不 会 影响 原 数 据 库 的 正常 更 新 ， 最 新 的 版 本 可 以 
在 http://www.percona.com/downloads/ 下 载 。Xtrabackup 提供 了 Linux 下 常见 的 安装 方式 , 包括 
RPM 安装 ， 源 码 编译 方式 ， 以 及 二 进 制版 本 安装 ， 本 节 以 源码 安装 percona-xtrabackup-2.0.7 
为 例 说 明 Xtrabackup 的 使 用 方法 ， 如 【示例 6-61】 所 示 。 


【示例 6-61】 
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首先 解压 源码 包 ， 然后 使 用 提供 的 ./utils/build.sh 工具 进行 编译 安装 ,编译 时 需要 指定 版 本 
的 MySQL 源码 ， 比 如 mysql-5.1.59.targz， 源 码 可 以 从 MySQL 官方 网 站 下 载 ， 然 后 复制 到 指 
定 目录 ， 执 行 编译 ， 编 译 时 可 以 指定 MySQL 5.1 和 MySQL 5.5， 编 译 完成 后 二 进 制 文件 位 于 
src 目录 下 ， 复 制 到 指定 位 置 。 

通过 设置 环境 变量 PATH 指定 了 二 进 制 文件 的 寻找 路 径 ， 然 后 执行 innobackupex 脚本 备 
份 文件 ， 脚 本 执行 时 指定 了 MySQL 实例 的 配置 文件 和 登录 方式 ， 如 该 备份 程序 从 库 上 运行 ， 
可 以 指定 --slave-info 参数 , 用 于 记录 备份 完成 时 同步 的 位 置 。 当 出 现 “innobackupex: completed 
OK!” 时 说 明 备份 成 功 。 文 件 的 位 置 位 于 /data/backup/2015-08-22_12-13-16 目录 下 。 

恢复 过 程 如 【示例 6-62】 所 示 。 


【示例 6-62】 
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6.5.4 MySQL 复制 

借助 MySQL 提供 的 复制 功能 ， 应 用 者 可 以 经 济 高 效 地 提高 应 用 程序 的 性 能 、 扩 展 力 和 高 
可 用 性 。 全球 许 多 流量 最 大 的 网 站 都 通过 MySQL 复制 来 支持 数 以 亿 计 、 呈 指数 级 增长 的 用 户 
群 ， 其 中 不 乏 eBay、Facebook、Tumblr、Twitter 和 YouTube 等 互联 网 巨头 。MySQL 复制 ， 既 
支持 简单 的 主 从 拓扑 ， 也 可 实现 复杂 、 极 具 可 伸缩 性 的 链 式 集群 。 


当 使 用 MySQL 复制 时 ， 所 有 对 复制 中 的 表 的 更 新 必须 在 主 服务 器 上 进行 。 否 则 可 能 引起 


主 服 务 器 上 的 表 进 行 的 更 新 与 对 从 服务 器 上 的 表 所 进行 的 更 新 产生 冲突 。 


利用 MySQL 的 复制 有 以 下 好 处 : 


(1) 增加 MySQL 服务 健壮 性 

数据 库 复 制 功能 实现 了 主 服 务 器 与 从 服务 器 之 间 数 据 的 同步 ， 增 加 了 数据 库 系 统 的 可 用 
性 。 当 主 服 务 器 出 现 问 题 时 ， 数 据 库 管 理 员 可 以 马上 让 从 服务 器 作为 主 服务 器 以 便 接管 服务 。 
之 后 有 充足 的 时 间 检 查 主 服务 器 的 故障 。 


(2) 实现 负载 均衡 
通过 在 主 服务 器 和 从 服务 器 之 间 实 现 读 写 分 离 , 可 以 更 快 地 响应 客户 端的 请 求 。 如 主 服务 
器 上 只 实现 数据 的 更 新 操作 , 包括 数据 记录 的 更 新 、 删 除 、 插 入 等 操作 ， 而 不 关心 数据 的 查询 
请 求 。 数据 库 管理 员 将 数据 的 查询 请 求全 部 转发 到 从 服务 器 中 。 同时 通过 设置 多 台 从 服务 器 处 
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理 用 户 的 查询 请 求 。 

通过 将 数据 更 新 与 查询 分 别 放 在 不 同 的 服务 器 上 进行 , 既 可 以 提高 数据 的 安全 性 , 同时 也 
缩短 应 用 程序 的 响应 时 间 、 提 高 系统 的 性 能 。 用 户 可 根据 数据 库 服务 的 负载 情况 灵活 、 弹 性 地 
添加 或 删除 实例 ， 以 便 动态 按 需 调整 容量 。 


(3) 实现 数据 备份 

首先 通过 MySQL 的 实时 复制 数据 从 主 服务 器 上 复制 到 从 服务 器 上 ,从 服务 器 可 以 设置 在 
本 地 也 可 以 设置 在 异地 ， 从 而 增加 了 容 灾 的 健壮 性 ， 为 避免 异地 传输 速度 过 慢 ，MySQL 服务 
器 可 以 通过 设置 参数 slave_compressed_protocol 启用 binlog 压缩 传输 ,数据 传输 效率 大 大 提高 ， 
通过 异地 备份 增加 了 数据 的 安全 性 。 

当 使 用 mysqldump 导出 数据 进行 备份 时 如 果 作 用 于 主 服 务 器 可 能 会 影响 主 服 务 器 的 服务 ， 
而 在 从 服务 器 进行 数据 的 导出 操作 不 但 能 达到 数据 备份 的 目的 而 且 不 会 影响 主 服务 器 上 的 客 
户 请 求 。 

MySQL 使 用 3 个 线程 来 执行 复制 功能 ， 其 中 1 个 在 主 服 务 器 上 ， 另 2 个 在 从 服务 器 上 。 
当 执 行 START SLAVE 时 ， 主 服务 器 创建 一 线程 负责 发 送 二 进 制 日 志 。 从 服务 器 创建 一 个 IO 
线程 , 负责 读 取 主 服务 器 上 的 二 进 制 日 志 , 然后 将 该 数据 保存 到 从 服务 器 数据 目录 中 的 中 继 日 
志文 件 中 。 从 服务 器 的 SQL 线程 负责 读 取 中 继 日 志 并 重 做 日 志 中 包含 的 更 新 ， 从 而 达到 主 从 
数据 库 数据 的 一 致 性 。 整 个 过 程 如 【示例 6-63】 所 示 。 


【示例 6-63】 
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这 里 ， 线 程 2 是 一 个 连接 从 服务 器 的 复制 线程 。 该 信息 表示 所 有 主要 更 新 已 经 被 发 送 到 从 
服务 器 ， 主 服务 器 正 等 待 更 多 的 更 新 出 现 。 

该 信息 表示 线程 5 是 同 主 服务 器 通信 的 IO 线程 , 线程 6 是 处 理 保 存在 中 继 日 志 中 的 更 新 
的 SQL 线程 。 SHOW PROCESSLIST 运行 时 ， 两 个 线程 均 空闲 ， 等 待 其 他 更 新 。 


民 却 Time 列 的 值 可 以 显示 从 服务 器 比 主 服务 器 滞后 多 长 时 间 。 


6.5.5 ”MySQL 复制 搭建 过 程 

本 节 示 例 涉 及 的 主 从 数据 库 信 息 为 : 主 MySQL 服务 器 192.168.19.101:3306， 从 MySQL 
服务 器 为 192.168.19.102:3306。 为 便于 演示 主 从 复制 的 部 署 过 程 ， 以 上 两 个 实例 都 为 新 部 署 的 
实例 。 


(1) 确认 主 从 服务 器 上 安装 了 相同 版 本 的 数据 库 ， 本 节 以 MySQL 5.1.71 为 例 。 
(2) 确认 主 从 服务 器 已 经 启动 并 正常 提供 服务 ， 主 从 服务 器 的 关键 配置 如 下 : 


【示例 6-64】 


(3) 在 MySQL 主 服务 器 上 ， 分 配 一 个 复制 使 用 的 账户 给 MySQL 从 服务 器 ， 并 授予 


replication slave 权限 。 
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【示例 6-65】 


(4) 登录 主 服务 器 得 到 当前 binlog 的 文件 名 和 偏 移 量 。 
【示例 6-66】 


(5) 登录 从 服务 器 设置 主 备 关系 
对 从 数据 库 服务 器 做 相应 的 设置 ， 指 定 复制 使 用 的 用 户 、 主 服务 器 的 IP、 端 口 ， 开 始 执 
行 复制 的 文件 和 偏 移 量 等 。 


【示例 6-67】 


(6) 登录 从 服务 器 上 启动 slave 线程 并 检查 同步 状态 
【示例 6-68】 
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如 Slave IO_Running 和 Slave SQL_Running 都 为 YES 说 明 主 从 已 经 正常 工作 了 。 如 其 中 
一 个 为 NO 则 需要 根据 Last_IO_Errno 和 Last_IO_Error 显示 的 信息 定位 主 从 同步 失败 的 原因 


(7) 主 从 同步 测试 
【示例 6-69】 
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首先 登录 主 数据 库 ， 然 后 创建 了 表 ， 同 时 此 语句 会 写 入 到 主 数据 库 的 binlog 日 志 中 ， 从 
数据 库 的 IO 线程 读 取 到 该 日 志 写 入 到 本 地 的 中 继 日 志 ， 从 数据 库 的 SQL 线程 重新 执行 该 语 
句 ， 从 而 实现 主 从 数据 库 数 据 一 致 。 


6.6 小 寺 


本 章 首 先 介绍 了 HTTP 协议 , 通过 此 协议 , 读者 可 以 了 解 HTTP 的 原理 及 其 常见 返回 码 代 
表 的 含义 ， 返 回 码 在 日 常 程序 调试 中 具有 重要 的 作用 。 通 过 介绍 Apache 服务 安装 与 配置 ， 使 
读者 了 解 了 Apache 服务 常见 的 3 种 虚拟 主机 配置 方法 ， 其 中 基于 域名 的 虚拟 主机 配置 是 使 用 
比较 广泛 的 一 种 ， 需 重点 掌握 。 通 过 PHP 的 安装 与 配置 介绍 了 PHP 如何 与 Apache 服务 集成 ， 
集成 后 就 可 以 通过 Apache 访问 PHP 文件 了 ， 最 后 对 MySQL 的 日 常 维护 给 出 了 操作 示例 。 
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Web 服务 除了 常见 的 LAMP (Linux+Apache+MySQL+PHP) 架构 外 ， 另 外 一 种 应 用 比较 
广泛 的 架构 即 为 LNMP (Linux+Nginx+MySQL+PHP)。Nginx 是 一 款 轻 量 级 的 Web 服务 软件 ， 
同时 支持 负载 均衡 和 反 向 代理 。 因 为 Nginx 并 发 能 力 很 强 , 所 以 国内 很 多 大 型 公司 都 使 用 Nginx 
作为 Web 服务 器 。 

本 章 首 先 介绍 LNMP (Linux+Nginx+MySQL+PHP) 涉及 的 相关 软件 的 安装 与 管理 ， 然 后 
介绍 Nginx 的 负载 均衡 和 反 向 代理 ， 接 着 介绍 Nginx 和 PHP 的 两 种 集成 方式 。 最 后 通过 PHP 
操作 MySQL 的 实战 案例 ， 使 读者 了 解 如 何 通过 PHP 实现 MySQL 数据 库 表 的 增 、 删 、 改 、 查 
功能 。 

本 章 主要 涉及 的 知识 点 有 : 

LNMP 服务 安装 与 管理 

Nginx 负载 均衡 与 反 向 代理 

掌握 Nginx 与 PHP 集成 的 两 种 方式 
掌握 如 何 通 过 PHP 操作 MySQL 数据 库 


LNMP 服务 安装 与 管理 


本 节 主 要 介绍 常见 的 LNMP (Linux+Nginx+MySQL+PHP) 服务 的 安装 与 管理 。 与 Apache 
相 比 ，Nginx 的 安装 包 更 轻 量 级 。 


7.1.1 Nginx 的 安装 与 管理 

Nginx 软件 的 安装 主要 经 过 3 个 步骤 : 检查 系统 软件 环境 、 编 译 源码 和 安装 。Nginx 的 最 
新 版 本 可 以 从 http://nginx.org/ 下 载 ,目前 最 新 版 本 为 1.6.3 和 1.7.12, 其 中 1.6.3 为 稳定 版 ,1.7.12 
为 开发 版 。 本 节 以 Nginx 的 1.6.3 版 本 为 例 说 明 Nginx 的 安装 过 程 。 

1. Nginx 安装 

安装 Nginx 之 前 ， 首 先 需要 安装 PCRE (Perl Compatible Regular Expressions)，PCRE 为 
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Perl 语言 兼容 正则 表达 式 ， 主 要 用 C 语言 编写 ， 被 很 多 开源 软件 所 采用 。 详 细 的 安装 过 程 如 
【示例 7-1】 所 示 。 


【示例 7-1】 


通过 以 上 步骤 完成 了 PCRE 和 Nginx 软件 的 安装 ， 两 者 的 安装 与 普通 软件 安装 类 似 ， 并 
不 需要 特殊 设置 。Nginx 安装 时 依赖 zlib 和 zlib-devel， 因 此 需要 提前 安装 这 两 个 软件 。 
Nginx 安装 完 后 位 于 /usr/local/nginx 目录 下 ， 目 录 结 构 如 【示例 7-2】 所 示 。 


【示例 7-2】 
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Nginx 服务 的 主要 文件 为 sbin/nginx， 此 程序 为 Nginx 主 程序 。Nginx 的 主要 配置 文件 
为 ./conf/nginx.conf， 此 文件 类 似 Apache 服务 的 配置 文件 httpd.conf。 
2. Nginx 虚拟 主机 设置 


同 Apache 类 似 ，Nginx 支持 多 种 虚拟 主机 配置 方式 ， 如 基于 端口 的 虚拟 主机 配置 、 基 于 
IP 的 虚拟 主机 配置 和 基于 域名 的 虚拟 主机 配置 。 本 节 主 要 以 基于 域名 的 虚拟 主机 配置 为 例 说 
明 如 何在 Nginx 下 完成 基于 域名 的 虚拟 主机 配置 。 详 细 的 设置 过 程 与 配置 文件 如 【示例 7-3】 
所 示 。 


【示例 7-3】 
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该 示例 中 首先 创建 了 虚拟 主机 配置 文件 www.test.com.conf， 在 此 文件 中 采用 了 基于 域名 
的 虚拟 主机 配置 。 每 行 的 主要 含义 如 下 : 

第 1 行为 虚拟 主机 配置 标识 ， 此 标识 类 似 Apache 服务 中 的 VirtualHost。 

第 2 行 指定 了 该 虚拟 主机 监听 的 IP 和 端口 。 

第 3 行为 虚拟 主机 对 应 的 域名 ， 如 配置 多 个 域名 ， 可 以 用 空格 分 开 。 

第 5~6 行 指定 了 Nginx 的 日 志 配置 。 

第 8~11 行 指定 了 虚拟 主机 的 主 目录 和 默认 文件 。 


7.1.2 PHP 安装 


PHP 的 安装 同样 需要 经 过 环境 检查 、 编 译 和 安装 3 个 步骤 ， 这 在 第 6 章 中 已 经 介绍 过 ， 
本 节 采 用 php-5.4.16.tar.gz 作 简 单 示例 如 【示例 7-4】 所 示 。 


【示例 7-4】 
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“--enable-fastcgi” 含 义 为 开启 PHP 的 FastCGI 支持 ， 另 外 一 种 开启 FastCGI 支持 的 方式 
为 指定 “--enable-fpm” 参 数 。 在 Apache 将 PHP 作为 一 个 模块 进行 加 载 ， 而 Nginx 通常 则 是 
将 PHP 请 求 发 送 给 FastCGI 进程 处 理 ， 因 此 安装 时 需要 使 用 上 述 参 数 。 更 多 参数 及 更 详细 的 
定制 方法 可 以 参考 第 6 章 中 的 相关 章节 。 


全 MySQL 安 美方 法 与 第 6 章 中 介绍 的 方法 相同 ， 此 处 不 再 准 述 。 


了 .2 Nginx 负载 均衡 与 反 向 代理 


Nginx 是 一 款 优秀 的 Web 软件 ， 同 时 支持 负载 均衡 和 反 向 代理 功能 ， 本 节 主 要 介绍 Nginx 
的 负载 均衡 和 反 向 代理 相关 的 设置 。 


7.2.1 Nginx 负载 均衡 设置 

Nginx 除 作为 Web 服务 器 外 ， 另 外 支持 多 种 负载 均衡 算法 。 常 见 的 算法 如 轮 询 、 权 重 、IP 
哈 希 等 。 

(1) 轮 询 算 法 : 每 次 将 请 求 顺序 分 配 到 不 同 的 服务 器 ， 通 过 此 算法 可 以 实现 请 求 在 多 台 
机 器 之 间 的 轮 询 转发 。 轮 询 算法 的 负载 均衡 配置 如 【示例 7-5】 所 示 。 


【示例 7-5】 
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在 nginx.conf 配置 文件 中 ， 用 upstream 指令 定义 一 组 负载 均衡 后 端 服务 器 池 。 


(2) 权重 算法 : 通过 将 不 同 的 后 端 服务 器 设置 不 同 的 权重 以 便 实 现 请 求 的 按 比 例 分 配 ， 
当 后 端 服务 器 故障 时 可 以 自动 剔除 该 服务 器 ， 此 算法 配置 方法 如 【示例 7-6】 所 示 。 


【示例 7-6】 


其 中 ，test_svr 为 服务 器 组 名 。weight 设置 服务 器 的 权重 ， 默 认 值 是 1， 权 重 值 越 大 ， 表 
示 该 服务 器 可 以 接收 更 多 的 请 求 。max_fails 和 fail_timeout 表示 如 果 某 台 服 务 器 在 fail_timeout 
时 间 内 出 现 了 max_fails 次 连接 失败 ， 那 么 Nginx 就 会 认为 该 服务 器 已 经 故障 ， 从 而 剔除 该 服 
务 器 。 


(3) IP 哈 希 算法 : 此 算法 根据 用 户 的 客户 端 IP 将 请 求 分 配给 后 端的 服务 器 ， 由 于 源 卫 
相同 的 客户 端 经 过 IP 哈 希 算法 后 的 值 相同 ， 因 此 同一 客户 端的 请 求 可 以 分 配 到 后 端的 同一 台 
服务 器 上 。IP 哈 希 负载 均衡 主要 通过 指令 ip_hash 指定 ， 如 【示例 7-7】 所 示 。 


【示例 7-7】 


7.2.2 Nginx 反 向 代理 配置 

反 向 代理 方式 与 普通 的 代理 方式 有 所 不 同 , 使 用 反 向 代理 服务 器 可 以 根据 指定 的 负载 均衡 
算法 将 请 求 转发 给 后 端的 真实 Web 服务 器 ， 可 以 将 负载 均衡 和 代理 服务 器 的 高 速 缓存 技术 结 
合 在 一 起 , 从 而 提升 静态 网 页 的 访问 速度 , 因此 可 以 实现 较 好 的 负载 均衡 。 如 需 设置 反 向 代理 ， 
需要 在 conf 目录 中 建立 文件 proxy.conf 并 修改 www.test.com.conf， 如 【示例 7-8】 所 示 。 
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【示例 7-8】 
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其 中 ,第 14 行 “proxy_pass http://test_svr” 用 于 指定 反 向 代理 的 服务 器 池 。 


第 17 行 表示 请 求 的 文件 如 果 为 指定 的 扩展 名 ， 则 直接 从 指定 目录 读 取 。 

第 24 行 表示 如 果 是 以 php 为 扩展 名 的 文件 , 则 转 给 本 地 的 FastCGI 处 理 。proxy.conf 文件 
中 第 3 行 表示 将 客户 端 真实 的 IP 传送 给 后 端 服务 器 ,如 后 端 服务 器 需要 获取 客户 端的 真实 IP， 
则 可 以 从 变量 X-Forwarded-For 中 获取 。 


如 需 了 解 更 多 参数 的 相关 介绍 ， 可 以 参考 Nginx 的 帮助 手册 。 


了 .3 集成 Nginx 与 PHP 


Neginx 与 PHP 的 常见 集成 方式 有 两 种 : 一 种 是 通过 spawn-fegi 方式 ， 另 外 一 种 是 通过 
php-frm 方式 。 两 种 集成 方式 类 似 ， 并 无 太 大 区 别 ， 本 节 主 要 介绍 如 何 通过 这 两 种 方式 集成 
Nginx 和 PHP。 


7.3.1 spawn-fcgi 集成 方式 


使 用 spawn-fegi 与 PHP 集成 首先 要 安装 相应 的 软件 ,这 里 的 版 本 为 spawn-fcgi-1.6.4.tar.gz， 
软件 安装 与 设置 主要 经 过 以 下 几 个 步骤 。 


1. spawn-fcgi 软件 安装 
安装 过 程 如 【示例 7-9】 所 示 。 
【示例 7-9】 
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经 过 上 面 的 步骤 需要 的 软件 spawn-fcgi 已 经 安装 完成 位 于 /usr/local/spawn-fcgi 目录 下 。 
spawn-fcgi 安装 完成 后 ， 需 要 安装 PHP， 安 装 命令 可 参考 示例 7-4。 

spawn-fcgi 集成 方式 需要 PHP 的 FastCGI 程序 位 于 /usrlocal/php/bin/php-cgi， 在 编译 PHP 
时 需要 使 用 选项 “--enable-fastcgi”。 

2. 虚拟 主机 设置 

本 节 主 要 进行 虚拟 主机 的 相关 配置 .wwwtest.com 对 应 的 虚拟 主机 配置 可 参考 7.1.1 小 节 。 
本 节 需 要 的 配置 文件 如 【示例 7-10】 所 示 。 


【示例 7-10】 


以 上 设置 为 虚拟 主机 www.test.com 支持 PHP 的 设置 。 


第 1 行 指定 虚拟 主机 配置 的 开始 。 

第 3 行为 指定 虚拟 主机 对 应 的 域名 ， 如 有 多 个 域名 可 以 使 用 空格 分 隔 。 

第 4 行 指定 了 虚拟 主机 对 应 的 主 目录 。 

第 8~14 行为 PHP 与 spawn-fcgi 集成 的 关键 配置 ， 表 示 如 果 访 问 的 文件 以 “.php” 扩 展 名 
结尾 ， 则 将 请 求 转 到 本 机 127.0.0.1 的 9000 端口 处 理 。 

第 11 行 指定 了 默认 的 首页 文件 。 
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第 12 行 指 定 了 PHP 对 应 的 处 理 CGI。 
第 13 行 表示 包含 /usr/local/nginx/conf 目录 下 的 fastcgi_params 文件 。 
3. 启动 spawn-fcgi 


经 过 上 面 的 设置 相关 配置 已 经 完成 , 然后 进行 spawn-fegi 的 启动 , 启动 命名 如 【示例 7-11】 
所 示 。 


【示例 7-11】 


经 过 上 面 的 步骤 spawn-fegi 已 经 启动 。“-a” 参 数 表示 服务 启动 时 绑 定 的 IP，“-p” 表 示 
服务 启动 时 监听 的 端口 ，“-f” 指 定 了 php-cgi 文件 所 在 的 位 置 。 


4. 编辑 测试 文件 
编辑 测试 文件 index.php 并 启动 Nginx， 文 件 内 容 及 启动 命令 如 【示例 7-12】 所 示 。 
【示例 7-12】 


5. 集成 结果 测试 
Nginx 启动 成 功 后 ， 可 以 进行 访问 测试 ， 测 试 结果 如 图 7.1 所 示 。 
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图 7.1 spawn-fcgi 集成 方式 测试 


如 正常 出 现 上 述 输出 “Server API CGIFastCGI”， 则 表示 Nginx 通过 spawn-fegi 与 PHP 集 
成 ， 已 经 成 功 运行 ， 然 后 可 以 进行 PHP 程序 的 开发 了 。 


7.3.2 ”php-fpm 集成 方式 

php-fpm 同 spawn-fegi 类 似 ， 是 FastCGI 进程 管理 器 ， 最 新 的 PHP 版 本 已 经 集成 php-fpm 
的 源码 ， 安 装 时 只 需 开 启 “--enable-fpm” 参 数 即 可 。 相 对 于 spawn-fcgi，php-fpm 处 理 方式 更 
高 效 ， 为 推荐 的 集成 方式 。 本 节 主 要 介绍 php-fpm 集成 过 程 与 测试 ， 主 要 经 过 以 下 几 个 步骤 。 


1. 编译 安装 PHP 
PHP 编译 安装 过 程 如 【示例 7-13】 所 示 。 
【示例 7-13】 


经 过 上 面 的 步骤 ，PHP 软件 已 经 安装 完成 ， 关 键 文件 位 于 /usr/local/php/sbin/php-fpm。 
2. 虚拟 主机 配置 
本 节 主要 进行 虚拟 主机 的 相关 设置 ，wwwtestcom 对 应 的 虚拟 主机 配置 同 7.3.1 小 节 的 内 容 。 


3. 启动 程序 php-fpm 
配置 完成 后 ， 然 后 可 以 进行 PHP-FPM 的 启动 ， 启 动 命令 如 【示例 7-14】 所 示 。 
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【示例 7-14】 


经 过 上 面 的 步骤 程序 /usrlocal/php/sbin/php-fpm 已 经 启动 ， 启 动 时 需要 的 配置 采用 了 
php-fpm.conf 文件 中 的 默认 设置 。 


4. 测试 
编辑 测试 文件 index.php 并 启动 Nginx， 文 件 内 容 及 启动 命令 可 参考 7.3.1 节 的 对 应 内 容 。 
Nginx 启动 成 功 后 ， 测 试 结果 如 图 7.2 所 示 。 
地 址 四 htpViwmwiestoomy 


[le phpmfeO x|o 
x 查找 各 下 一 个 全 上 一 个 查找 结果 :第 0 个 , 共 0 个 ~ 


图 72 PHP-FPM 集成 方式 测试 


如 正常 出 现 上 述 输出 “Server API FPM/FastCGI”， 则 表示 Nginx 通过 PHP-FPM 与 PHP 
集成 ， 已 经 成 功 运行 ， 然 后 可 以 进行 PHP 程序 的 开发 了 。 
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了 .和 LNMP 实 战 


PHP 提供 了 高 级 语言 中 的 流程 控制 、 循 环 、 函 数 、 类 等 功能 ， 本 节 以 一 个 简单 的 入 门 程 
序 为 例 , 说 明 PHP 程序 的 编写 过 程 ， 然 后 介绍 了 如 何 利用 PHP 实现 MySQL 表 的 查询 、 添 加 、 
修改 和 删除 。 


7.4.1 第 1 个 PHP 程序 
本 节 的 示例 比较 简单 , 功能 为 在 网 页 上 显示 字符 串 “Hello World”。 详细 代码 如 【示例 7-15】 
所 示 。 


【示例 7-15】 


第 1~4 行为 HTML 代码 ，PHP 代码 以 “<?php” 标 记 开始 ， 以 “?>” 标 记 结束 ， 中 间 为 
PHP 代码 部 分 ， 如 第 7 行 作用 是 使 用 echo 命令 显示 一 字符 串 “Hello Word”。 


7.4.2 数据库 连接 
PHP 提供 了 一 系列 函数 用 来 操作 MySQL 数据 库 ， 本 节 主 要 介绍 如 何 使 用 PHP 程序 连接 
MySQL， 主 要 代码 如 【示例 7-16】 所 示 。 


【示例 7-16】 
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上 述 示例 首先 设置 了 数据 库 的 IP 地 址 、 用 户 名 、 密 码 和 连接 的 数据 库 ， 然 后 使 用 
mysql_connect 进行 数据 库 连 接 ， 并 通过 返回 值 判断 连接 是 否 成 功 。mysql_select_db 函数 用 于 
选择 数据 库 ，mysql_query 函数 设置 了 默认 字符 集 编 码 ，date_default_timezone_set 函数 设置 了 
默认 时 区 。 


7.4.3 ”记录 查询 


上 一 节 介 绍 了 如 何 使 用 PHP 连接 MySQL， 本 节 主 要 介绍 如 何 使 用 PHP 查询 数据 库 中 的 
记录 。 本 示例 涉及 的 数据 库 和 表 的 创建 语句 如 【示例 7-17】 所 示 。 


【示例 7-17】 
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以 上 创建 了 数据 库 BBS， 并 创建 了 表 users， 它 包含 字段 id，INT 类 型 ， 该 表 的 主键 ， 自 
增 ; 字段 uname 表示 用 户 名 ; 字段 address 表示 地 址 。INSERT 语句 添加 了 测试 数据 。 

查询 表 中 的 记录 首先 需要 连接 数据 库 ， 然 后 使 用 SELECT 语句 查询 出 需要 的 记录 ， 通 过 
遍历 将 记录 取出 并 显示 到 页 面 上 。 详 细 代 码 如 【示例 7-18】 所 示 。 


【示例 7-18】 
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第 2 行使 用 include 指令 包含 了 文件 connect.php。 

第 10~19 行为 判断 用 户 页 面 输入 的 参数 ， 不 允许 输入 的 参数 为 空 。 

第 22 行 开 始 为 网 页 正文 。 

第 25~33 行为 显示 输入 框 ， 可 以 在 页 面 上 输入 参数 ， 单 击 【搜索 】 按 钮 后 将 参数 传递 给 
MySQL 语句 进行 查询 。 

第 34 行 指定 了 接 下 来 显示 一 个 表格 。 

第 41~45 行为 表格 表 头 说 明文 字 。 

第 47~50 行 判断 当 输 入 的 参数 为 空 时 如 何 处 理 ， 如 不 输入 任何 参数 ， 则 显示 表 中 的 所 有 
符合 条 件 的 记录 。 

第 52 行将 输入 的 关键 词 作为 MySQL 查询 语句 的 参数 ， 然 后 通过 循环 遍历 结果 集 ， 并 以 
表格 的 形式 显示 在 页 面 上 。 

此 示例 的 执行 结果 如 图 7.3 所 示 。 

;地 址 | 自 http://www test comyBBSJusers.php 


| 本 | 有 用 户 信息 可 淘 。 X| 卫 
x 查找 六 玫 下 一 个 全 上 一 个 查找 结果 ;第 0 个 , 


数据 库 和 连接 成 功 
地 前 X 司 宁 站 | 
[| 


用 户 D 用 户 名 地 址 


了 


7.3 用 户 信息 查询 结果 


7.4.4 增加 分 页 

如 果 表 中 记录 过 多 , 所 有 结果 放 在 一 页 中 会 影响 页 面 性 能 并 影响 浏览 效果 , 通过 分 页 可 以 
优化 显示 效果 。 分 页 的 方法 有 很 多 选择 ， 本 节 介绍 一 种 简单 的 分 页 方法 ， 查 询 时 通过 指定 
MySQL 的 LIMIT 来 实现 指定 范围 记录 的 查询 与 显示 。 具 体 代码 如 【示例 7-19】 所 示 。 


【示例 7-19】 
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本 示例 与 不 带 分 页 的 示例 的 区 别 在 于 第 53~62 行 。 


第 53~56 行 获取 当前 的 页 码 编号 ， 如 果 为 空 ， 则 用 户 首次 浏览 时 显示 第 1 页 内 容 。 

第 57 行 指 定 了 每 页 可 以 显示 记录 的 条 数 。 

第 58~61 行 主要 执行 查询 并 得 到 符合 条 件 的 记录 的 总 数 。 

第 62 行 用 于 计算 查询 时 需要 的 偏 移 量 。 

第 64 行 根据 计算 的 偏 移 量 和 每 页 显示 的 记录 条 数 执行 LIMIT 查询 。 

第 88~105 行 主要 显示 首页 、 下 一 页 、 上 一 页 和 尾 页 超 链 接 ， 并 将 查询 关键 字 和 页 码 编号 
传 给 指定 的 页 码 。 

本 例 运行 效果 如 图 7.4 所 示 。 
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地 址 | 各 http://wm.test.com/users_page.php?page=28ixt_keyword= 


CE 

x 查找 [| 表 下 -个 全 上 一 个 ”查找 结果 :第 0 个 , 共 0 个 ~ 
数据 库 连 接 成 功 

sx | 

用 户 信息 查询 
用 PD 用 户 名 | 地 址 

4 user22494 address1980 

5 user23403 address3329 

6 user24312 address4678 


当前 第 2 页 ， 总 共 106 页 ， 总 记录 317 条 首页 上 一 页 下 一 页 尾 页 
图 7.4 用 户 信息 分 页 查询 


7.4.5 添加 记录 

上 一 节 介绍 了 如 何 通过 关键 字 查 询 符合 条 件 的 记录 及 如 何 分 页 ， 本 节 介绍 如 何 使 用 PHP 
添加 MySQL 记录 。 

添加 记录 的 代码 如 【示例 7-20】 所 示 。 


【示例 7-20】 
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运行 效果 如 图 7.5 所 示 。 


图 7.5 用 户 信息 添加 


输入 用 户 信息 单 击 【 添 加 ]】 按 钮 后 需要 相应 的 处 理 程序 ， 将 输入 的 信息 添加 到 数据 库 中 的 
代码 如 【示例 7-21】 所 示 。 


【示例 7-21】 
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运行 效果 如 图 7.6 所 示 。 


图 7.6 添加 数据 库 记录 


7.4.6 ”修改 记录 

如 需 修改 数据 库 相 关 记 录 , 首先 需要 根据 该 表 的 主键 查询 对 应 的 记录 , 然后 显示 到 修改 页 
面 ， 提 交 后 保存 到 数据 库 中 。 

本 节 介 绍 的 修改 功能 对 应 的 代码 是 在 users_page.php 基础 上 修改 的 , 主要 是 添加 修改 记录 
需要 的 超 链接 ， 超 链接 应 该 将 当前 记录 的 主键 传 到 更 新 页 面 users_update.php，users_page.php 
所 做 修改 如 【示例 7-22】 所 示 。 


208 


上 7 章 ”搭建 LNMP 服务 


【示例 7-22】 


以 上 代码 运行 效果 如 图 7.7 所 示 。 


当前 第 2 页 ， 总 共 3 页 ， 总 记录 7 条 。。 首页 上 一 页 下 一 页 居 页 
http:/fwwwtestcom/BBSusers_update.php 允 -6 


7.7 增加 修改 超 链接 


图 7.7 显示 了 修改 需要 的 超 链接 ,并 将 主键 作为 参数 加 入 到 超 链接 中 ， 以 便 更 新 页 面 可 以 
通过 指定 的 主键 ID 查找 对 应 记录 。 
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users_update.php 负责 查询 指定 的 记录 并 显示 相关 信息 ， 详 细 代码 如 【示例 7-23】 所 示 。 
【示例 7-23】 


第 7 章 搭建 LNMP 服务 


上 述 示例 第 24 行 得 到 记录 的 主键 ， 第 25 行 从 数据 库 中 查找 对 应 的 记录 ， 第 32~54 行将 
查找 到 的 记录 以 表单 形式 展现 出 来 ， 显 示 效果 如 图 7.8 所 示 。 


数据 库 连 接 成 功 
| 用户 信息 修改 


图 7.8 修改 记录 页 面 


在 记录 被 修改 后 ， 可 以 通过 单 击 “ 修 改 ”按钮 将 更 改 后 的 数据 传送 给 更 新 处 理 页 面 
users_update_do.php， 该 页 面 主要 负责 获取 更 新 后 的 数据 并 更 新 到 数据 库 中 ， 详 细 代 码 如 【 示 
例 7-24】 所 示 。 


【示例 7-24】 


全 撞 


CentOS7 与 运 维 实战 着 各 


此 页 面 如 果 更 新 记录 成 功 则 显示 “记录 修改 成 功 ”; 如 果 修 改 失败 ， 则 显示 “记录 修改 
失败 ”， 可 根据 此 信息 判断 修改 结果 。 


7.4.7 删除 记录 

如 果 要 删除 数据 库 中 的 记录 ， 首 先 获 取 当 前 记录 的 主键 ， 然 后 在 数据 库 中 查找 并 删除 。 本 
节 代 码 在 7.4.4 节 中 的 users_page.php 基础 上 进行 修改 ， 主 要 是 添加 删除 记录 需要 的 超 链 接 ， 超 
链接 应 该 将 当前 记录 的 主键 传 到 更 新 页 面 users_delete.php。 完 整 的 代码 如 【示例 7-25】 所 示 。 


【示例 7-25】 


第 7 章 搭建 LNMP 服务 


第 7 章 搭建 LNMP 服务 


运行 效果 如 图 7.9 所 示 ， 地 址 栏 显示 了 超 链接 的 内 容 。 


操作 
全 改革 


修改 到 除 
个 改 芭 除 


首页 上 一 页 下 一 页 尾 页 


ttp: /fon.test. com /BeS hssers_delete php3d=8 
7.9 ”添加 “删除 超 链接 ” 
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经 过 以 上 步骤 删除 记录 需要 的 主键 ID 已 经 加 入 到 超 链接 中 ， 点 击 对 应 的 超 链接 后 ， 会 弹 
出 “确认 ”对 话 框 要 用 户 确认 是 否 真 的 删除 ， 如 图 7.10 所 示 。 


图 7.10 ”记录 删除 确认 对 话 杠 


当 单 击 “ 取 消 ”按钮 时 ， 将 不 进行 记录 删除 操作 ， 如 单 击 “确定 ”按钮 ， 则 进行 记录 的 删 
除 操作 ， 删 除 相 关 的 代码 如 【示例 7-26】 所 示 。 


【示例 7-26】 
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.5 小 


LNMP (Linux+Nginx+MySQL+PHP) 是 一 种 应 用 比较 广泛 的 Web 服务 架构 。 本 章 首先 介 
绍 LNMP 涉及 的 相关 软件 的 安装 与 管理 , 然后 介绍 了 Nginx 的 虚拟 主机 配置 , 接着 介绍 Nginx 
和 PHP 的 两 种 集成 方式 ， 最 后 通过 实现 数据 库 表 的 增 、 删 、 改 、 查 功能 ， 介 绍 了 
Nginx+PHP+MySQL 的 应 用 。 
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电子 商务 已 经 成 为 生活 中 不 可 缺少 的 一 部 分 , 给 用 户 带 来 方便 和 效率 。 随 着 计算 机 硬件 的 
发 展 , 单 台 计 算 机 的 性 能 和 可 靠 性 越 来 越 高 ,网 络 的 飞速 发 展 给 网 络 带宽 和 服务 器 带 来 巨大 的 
挑战 , 网 络 带宽 的 增长 远 高 于 处 理 器 速度 和 内 存 访问 速度 的 增长 , 急剧 膨胀 的 用 户 请 求 已 经 使 
单 台 计 算 机 难以 达到 用 户 的 需求 .为 了 满足 急剧 增长 的 需求 ,使 用 集群 技术 负载 均衡 迫在眉睫 。 

本 章 首先 介绍 什么 是 集群 技术 及 集群 的 体系 结构 ， 然 后 介绍 集群 软件 LVS Linux Virtual 
Server) 的 负载 调度 算法 ， 并 结合 各 种 调度 算法 给 出 实际 案例 。 

本 章 主要 涉及 的 知识 点 有 : 


@ Linux 集群 体系 结构 
@ LVS 负载 均衡 调度 算法 
@ LVS 负载 均衡 的 安装 与 设置 


本 章 介绍 的 LVS 负载 均衡 管理 主要 针对 Linux 系统 下 的 负载 均衡 ， 在 Windows 领域 软件 
层面 尚 没 有 匹配 的 开源 软件 支持 负载 均衡。 


加. 1 集群 技术 简介 


如 今 互联 网 应 用 尤其 是 Web 服务 已 经 越 来 越 广泛 。 电 子 商 务 网 站 需要 提供 每 天 24 小 时 不 
间断 服务 , 如 发 生硬 件 损坏 导致 服务 中 断 将 造成 不 可 挽回 的 经 济 损失 。 越 来 越 多 的 网 站 交互 性 
不 断 增强 ， 随 着 用 户 量 的 增长 需要 更 强 的 CPU 和 IO 处 理 能 力 。 在 数据 挖掘 领域 ， 需 要 在 大 
量 数据 中 找 出 有 价值 的 信息 ,时 间 是 必须 考虑 的 因素 集群 技术 的 出 现 顺利 解决 了 这 两 种 问题 : 
高 可 用 性 集群 和 高 性 能 集群 。 

集群 通过 一 组 相对 廉价 的 设备 实现 服务 的 可 伸缩 性 , 当 服 务 请 求 急 剧 增长 时 , 服务 依然 可 
用 ,响应 依然 快速 。 集群 可 以 允许 部 分 硬件 或 软件 发 生 故 障 , 通过 集群 管理 软件 将 故障 屏蔽 从 
而 提供 24 小 时 不 间断 的 服务 。 相 对 于 高 端 服 务 器 的 昂贵 成 本 ， 使 用 廉价 的 设备 组 成 集群 ， 所 
花费 的 经 济 成 本 相对 可 以 承受 。 

高 可 用 性 集群 可 以 提供 负载 均衡 , 通过 把 任务 轮流 分 给 多 台 服 务 器 完成 , 以 避免 某 台 服务 
器 负载 过 高 。 同 时 负载 均衡 是 一 种 动态 均衡 ,可 以 通过 一 些 工具 或 软件 实时 地 分 析 数 据 包 , 掌 


握 网 络 中 的 数据 流量 状况 ， 合 理 分 配 任务 。 


| 比如 在 数据 链 路 层 可 以 根据 数据 包 的 MAC 地 址 选择 不 同 的 路 径 。 网 络 层 则 可 以 利用 基于 
IP 地 址 的 分 配方 式 将 数据 分 配 到 多 个 节点 。 对 于 不 同 的 应 用 环境 ， 如 计算 负荷 较 大 的 电 

| 子 商 务 网 站 ，IP 读 写 频繁 的 数据 库 应 用 ， 网 络 传输 量 大 的 视频 服务 则 各 自 有 对 应 的 负载 
均衡 算法 。 


男 . 2 Lvs 集群 介绍 


LVS 为 Linux 虚拟 服务 器 (Linux Virtual Server), 针对 高 可 伸缩 、 高 可 用 网 络 服务 的 需求 ， 
中 国 的 章 文 帖 博士 给 出 了 基于 了 IP 层 和 基于 内 容 请 求 分 发 的 负载 平衡 调度 解决 方案 , 并 在 Linux 
内 核实 现 , 将 一 组 服务 器 构成 一 个 实现 可 伸缩 的 、 高 可 用 网 络 服务 的 虚拟 服务 器 。 虚 拟 服务 器 
的 体系 结构 如 图 8.1 所 示 。 


用 户 
互联 网 /企业 网 Ea 

; | 负载 均衡 器 
局 域 网 


; 服务 器 1 


| ，,. 
虚拟 服务 “服务 器 2 及 


图 8.1 虚拟 服务 器 体系 结构 
-组 服务 器 通过 高 速 的 局 域 网 或 地 理 分 布 的 广域网 相互 连接 ， 前 端 有 一 个 负载 均衡 器 
(Load Balancer)， 有 时 简称 为 LD。 负 载 均衡 器 负责 将 网 络 请 求 调 度 到 真实 服务 器 上 ,真实 的 
服务 器 称 作 real server， 简 称 rs， 从 而 使 得 服务 器 集群 的 结构 对 应 用 是 透明 的 。 应 用 访问 集群 
系统 提供 的 网 络 服务 就 像 访问 一 台 高 性 能 、 高 可 用 的 服务 器 一 样 。 集群 的 扩展 性 可 以 通过 在 服 
务 集群 中 动态 地 加 入 和 删除 服务 器 节点 完成 。 通 过 定期 检测 节点 或 服务 进程 状态 可 以 动态 地 吻 
除 故 障 的 节点 ， 从 而 使 系统 达到 高 可 用 性 。 


8.2.1 3 种 负载 均衡 技术 
在 LVS 框架 中 ,提供 了 IP 虚拟 服务 器 软件 (IPVS), 包含 3 种 IP 负载 均衡 技术 ， 通 过 此 
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软件 可 以 快速 搭建 高 可 伸缩 的 、 高 可 用 的 网 络 服务 ， 管 理 也 非常 方便 。 

IPVS 软件 实现 了 这 3 种 卫 负载 均衡 技术 ， 每 种 技术 原理 介绍 如 下 。 

1. Virtual Server via Network Address Translation ( VS/NAT ) 

此 种 技术 中 前 端 负载 均衡 器 通过 重 写 请 求 报 文 的 目的 地 址 实现 网 络 地 址 转换 ,根据 设 定 的 
负载 均衡 算法 将 请 求 分 配给 后 端的 真实 服务 器 。 真实 服务 器 的 响应 报 文通 过 负载 均衡 器 时 , 报 
文 的 源 地 址 被 重 写 ， 然 后 返回 给 客户 端 ， 从 而 完成 整个 负载 调度 过 程 。 由 于 NAT 的 每 次 请 求 
接收 和 返回 都 要 经 过 负载 均衡 器 ， 对 前 端 负载 均衡 器 性 能 要 求 较 高 ， 如 业务 请 求 量 较 大 ,负载 
均衡 器 可 能 成 为 瓶颈 。NAT 模式 体系 结构 如 图 8.2 所 示 。 


\ Load Balancer 
Linux Box 


\\ Orewring pes 


Virtual Server 
via NAT 


图 8.2 LVS NAT 模式 体系 结 
2. Virtual Server via IP Tunneling ( VS/TUN ) 


TUN 模式 如 图 8.3 所 示 。 采用 NAT 技术 时 , 由 于 请 求 和 响应 报 文 都 必须 经 过 负载 均衡 器 
地 址 重 写 , 当 客户 请 求 越 来 越 多 时 , 负载 均衡 器 的 处 理 能 力 可 能 成 为 瓶颈 。 为 了 解决 这 个 问题 ， 
负载 均衡 器 把 请 求 报 文通 过 IP 隧道 转发 至 真实 服务 器 , 而 真实 服务 器 将 响应 直接 返回 给 客户 ， 
此 种 技术 负载 均衡 器 只 处 理 请 求 报 文 。 由 于 结果 不 需 经 过 负载 均衡 器 , 采用 此 种 技术 的 集群 知 
吐 能 力也 更 强大 ， 同 时 TUN 模式 可 以 支持 跨 网 段 ， 并 支持 跨 地 域 部 署 ， 使 用 非常 灵活 。 
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Virtual Server 
vialP Tunneling 


图 8.3 LVS TUN 模式 体系 结 
3. Virtual Server via Direct Routing ( VS/DR ) 


VS/DR 模式 如 图 8.4 所 示 , 该 模式 通过 改写 请 求 报 文 的 MAC 地 址 , 将 请 求 发 送 到 真实 服 
务 器 ， 类 似 TUN 模式 ，DR 模式 下 真实 服务 器 将 响应 直接 返回 给 客户 端 ， 因此 VS/DR 技术 可 
极 大 地 提高 集群 系统 的 伸缩 性 。 这 种 方法 没有 IP 隧道 的 开销 ， 真 实 服 务 器 也 没有 必须 支持 IP 
隧道 协议 的 要 求 , 但 是 此 种 模式 要 求 负载 均衡 器 与 真实 服务 器 都 在 同一 物理 网 段 上 , 由 于 同一 
网 段 机 器 数量 有 限 ， 从 而 限制 了 其 应 用 范围 。 


ee 
Raptesgorem me ueer ovecny 
Intameuntsnet 
2 A i 
/ 人 
ma Nawame 
== 
vr] 局 
Ep 
retwea 
El 
Virtual Server ~ Me eomert 这 
via Direct Routing . 


8.4 LVS DR 模式 体系 结构 
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8.2.2 ”负载 均衡 调度 算法 
针对 不 同 的 网 络 服务 需求 和 服务 器 配置 , IPVS 负载 均衡 器 提供 了 如 下 几 种 负载 调度 算法 : 


(1) 轮 询 算 法 

轮 询 (Round Robin) 算法 简称 RR， 负 载 均衡 器 通过 轮 询 调 度 算 法 将 外 部 请 求 按 顺 序 轮流 
分 配 到 集群 中 的 真实 服务 器 上 , 每 台 后 端的 服务 器 都 是 平等 无 差别 的 , 此 种 算法 忽略 了 真实 服 
务 器 的 负载 情况 ， 需 结合 其 他 监控 手段 一 起 使 用 。 


(2) 加 权 轮 询 算 法 

加 权 轮 询 (Weighted Round Robin) 算法 简称 WRR。 负 和 载 均衡 器 通过 加 权 轮 询 调度 算法 根 
据 真实 服务 器 的 不 同 处 理 能 力 来 调度 访问 请 求 ， 从 而 让 处 理 能 力 强 的 服务 器 处 理 更 多 的 请 求 。 
负载 均衡 器 可 以 自动 问 询 真实 服务 器 的 负载 情况 ， 并 动态 地 调整 其 权 值 , 相 比 轮 询 模 式 , 有 更 
大 的 灵活 性 。 


(3) 最 少 链接 算法 
最 小 链接 (Least Connections) 算法 简称 LC。 负 载 均衡 器 通过 最 少 连接 调度 算法 动态 地 将 
网 络 请 求 调度 到 已 建立 的 链接 数 最 少 的 服务 器 上 .如果 集群 系统 的 真实 服务 器 具有 相近 的 系统 
性 能 ， 采 用 此 种 算法 可 以 较 好 地 均衡 负载 。 


(4) 加 权 最 少 链接 算法 

加 权 最 少 链接 (Weighted Least Connections ) 算法 简称 WLC。 在 集群 系统 中 的 服务 器 性 能 
差异 较 大 的 情况 下 , 负载 均衡 器 采用 加 权 最 少 链接 调度 算法 优化 负载 均衡 性 能 , 具有 较 高 权 值 
的 服务 器 将 承受 较 大 比例 的 活动 连接 负载 。 


(5) 基于 局 部 性 的 最 少 链接 算法 

基于 局 部 性 的 最 少 链接 (Locality-Based Least Connections) 算法 简称 LBLC。 基 于 局 部 性 
的 最 少 链接 调度 算法 是 针对 目标 IP 地 址 的 负载 均衡 , 该 算法 根据 请 求 的 目标 IP 地 址 找 出 该 目 
标 IP 地 址 最 近 使 用 的 服务 器 ， 如 该 服务 器 是 可 用 的 且 没 有 超载 ， 将 请 求 发 送 到 该 服务 器 ， 若 
服务 器 不 存在 或 服务 器 超载 , 则 用 最 少 链接 的 原则 选 出 一 个 可 用 的 服务 器 , 将 请 求 发 送 到 该 服 


(6) 带 复制 的 基于 局 部 性 最 少 链接 算法 

带 复 制 的 基于 局 部 性 最 少 链 接 (Locality-Based Least Connections with Replication ) 算法 简 
称 LBLCR。 带 复制 的 基于 局 部 性 最 少 链接 调度 算法 也 是 针对 目标 IP 地 址 的 负载 均衡 ， 与 
LBLC 算法 的 不 同 之 处 是 要 维护 从 一 个 目标 IP 地 址 到 一 组 服务 器 的 映射 。 该 算法 根据 请 求 的 
目标 IP 地 址 找 出 该 目标 IP 地 址 对 应 的 服务 器 组 ， 按 最 小 连接 原则 从 服务 器 组 中 选 出 一 台 服 
务 器 ， 若 服务 器 没有 超载 ， 将 请 求 发 送 到 该 服务 器 ， 若 服务 器 超载 ; 则 按 最 小 连接 原则 从 这 个 
集群 中 选 出 一 台 服 务 器 ， 将 该 服务 器 加 入 到 服务 器 组 中 ， 将 请 求 发 送 到 该 服务 器 。 
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(7) 目标 地 址 散 列 算法 

目标 地 址 散 列 (Destination Hashing) 算法 简称 DH。 此 调度 算法 根据 请 求 的 目的 卫 地 址 ， 
作为 散 列 键 ， 从 静态 分 配 的 散 列表 找 出 对 应 的 真实 服务 器 ， 若 该 服务 器 是 可 用 的 且 未 超载 , 将 
请 求 发 送 到 该 服务 器 ， 否 则 返回 空 。 


(8) 源 地 址 散 列 算 法 

源 地 址 散 列 Source Hashing) 算法 简称 SH。 源 地 址 散 列 调度 算法 根据 请 求 的 源 IP 地 址 ， 
作为 散 列 键 从 静态 分 配 的 散 列 表 找 出 对 应 的 服务 器 , 若 该 服务 器 是 可 用 的 且 未 超载 , 将 请 求 发 
送 到 该 服务 器 ， 否 则 返回 空 。 


号 .了 ”Lvs 集群 的 体系 结构 


LVS 集 群 采用 IP 负载 均衡 技术 和 基于 内 容 请 求 分 发 技术 。 负 载 均衡 器 具有 很 好 的 吞吐 率 ， 
将 请 求 均衡 地 转移 到 不 同 的 服务 器 上 执行 , 且 负 载 均衡 器 自动 屏蔽 掉 服 务 器 的 故障 ， 从 而 将 一 
组 服务 器 构成 一 个 高 性 能 的 、 高 可 用 可 伸缩 的 虚拟 服务 器 。 整 个 服务 器 集群 的 结构 对 客户 是 透 
明 的 ， 而 且 无 须 修 改 客户 端 和 服务 器 端的 程序 。 为 此 ,在 设计 时 需要 考虑 系统 的 透明 性 、 可 伸 
缩 性 、 高 可 用 性 和 易 管 理性 。 一 般 来 说 ，LVS 集群 采用 三 层 结构 ， 其 体系 结构 一 般 如 图 8.5 


所 示 。 
- 昌 
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8.5 负载 均衡 通用 体系 结构 
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负载 均衡 集群 的 通用 体系 结构 一 般 主 要 有 3 个 组 成 部 分 ， 分 别 为 : 


(1) 负载 均衡 器 (load balancer) 简称 LD， 是 整个 集群 最 外 面 的 前 端 机 ， 上 面部 署 一 个 
Vip 服务 ， 客 户 请 求 到 达 该 VIP 后 LD 负责 将 客户 的 请 求 发 送 到 后 端的 真实 服务 器 上 执行 ， 而 
客户 认为 服务 是 来 自 一 个 卫 地 址 上 的 。 

(2) 真实 服务 器 池 (real server pool) 是 一 组 真正 执行 客户 请 求 的 服务 器 ， 负 责 处 理 用 户 
请 求 并 返回 结果 。 

(3) 共享 存储 〈shared storage) 是 可 选 组 成 部 分 ， 主 要 提供 一 个 共享 的 存储 区 ， 从 而 使 
得 服务 器 池 拥 有 相同 的 内 容 ， 提 供 相 同 的 服务 。 


号 ,ALvs 负载 均衡 配置 实例 


如 今 Web 应 用 已 经 非常 广泛 , 本 节 主 要 以 搭建 一 组 Web 服务 器 并 实现 LVS 的 负载 均衡 为 
例 ， 说 明 LVS 负载 均衡 的 配置 方法 ， 搭 建 LVS 相关 的 服务 器 信息 如 表 8.1 所 示 。 


表 8.1 LVS 实例 相关 信息 
说 阴 


后 端 RS 192.168.32.1 、192.168.32.2 
测试 域名 


用 户 访问 wwwtest.com 时 ， 会 解析 到 192.168.32.150， 然 后 负载 均衡 器 通过 算法 将 请 求 转 
到 后 端的 真实 服务 器 192.168.32.1 或 192.168.32.2 上 面 ， 从 而 达到 负载 均衡 的 目的 。 


| 在 开始 所 有 配置 之 前 ， 需 要 确认 所 有 计算 机 上 的 LVS 模块 已 加 载 ( 模 块 名 为 ip_vs) 、 | 
> 火 墙 、SELinux 等 都 做 了 妥善 的 设置 ， 任 何 环节 设置 不 合理 都 会 导致 整个 LVS 无 法 工作 。 


8.4.1 基于 NAT 模式 的 LVS 的 安装 与 配置 

NAT (Network Address Translation) 技术 的 出 现 有 效 缓解 了 IPv4 地 址 空间 不 足 的 问题 。 
通过 重 写 请 求 报 文 的 IP 了 地 址 (目标 地 址 、 源 地 址 和 端口 等 ) 将 私有 地 址 转换 成 合法 的 IP 地址， 
从 而 实现 一 个 局 域 网 只 需 使 用 少量 IP 地 址 即 可 实现 私有 地 址 网 络 内 所 有 计算 机 与 互联 网 的 通 
信和 需求 。 不 同 IP 地 址 的 服务 器 组 也 认为 其 是 与 客户 直接 相连 的 。 由 此 可 以 用 NAT 方法 将 不 
同 IP 地 址 的 并 行 网 络 服务 变 成 在 一 个 IP 地 址 上 的 一 个 虚拟 服务 。 根 据 上 文 提 供 的 服务 器 信 
息 介 绍 基于 NAT 的 Web 集群 配置 。 
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1. ipvsadm 软件 安装 
首先 应 该 安装 LVS 管理 工具 ipvsadm， 本 示例 中 采用 的 版 本 为 ipvsadm-1.26.tar.gz， 安 装 


过 程 如 【示例 8-1】 所 示 。 


【示例 8-1】 


# 解 压 源码 包 ， 在 下 载 源码 包 时 注意 内 核 版 本 ， 下 载 对 应 的 配置 工具 。 
[rooteCcentOS soft]# tar xvf ipvsadm-1.26.tar.gz 

# 可 直接 编译 

[root@CentOs ipvsadm-1.26]# make 

# 安 装 

[root@CentOs ipvsadm-1.26]# make install 

# 确 认 ipvsadm 安装 成 功 

[root@CentOsS ipvsadm-1.26]# /sbin/ipvsadm -v 

ipvsadm v1.26 2008/5/15 (compiled with popt and IPVS v1.2.1) 


安装 完毕 后 主要 的 程序 有 3 个 : 


@ /sbin/ipvsadm: 为 LVS 主管 理 程序 ， 负 责 RS 的 添加 、 删 除 与 修改 
@ ipvsadm-save: 用 户 备份 LVS 配置 
@ ipvsadm-restore: 用 于 恢复 LVS 配置 


ipvsadm 常用 参数 说 明 如 表 8.2 所 示 。 


表 8.2 ipvsadm 常用 参数 说 明 


参数 说 明 
-A 在 内 核 的 虚拟 服务 器 表 中 添加 一 条 新 的 虚拟 服务 器 记录 
-E 编辑 内 核 虚拟 服务 器 表 中 的 一 条 虚拟 服务 器 记录 


删除 内 核 虚拟 服务 器 表 中 的 一 条 虚拟 服务 器 记录 
清除 内 核 虚拟 服务 器 表 中 的 所 有 记录 
恢复 虚拟 服务 器 规则 


保存 虚拟 服务 器 规则 ， 输 出 为 -R 选项 可 读 的 格式 


在 内 核 虚 拟 服务 器 表 的 一 条 记录 里 添加 一 条 新 的 真实 服务 器 记录 


编辑 一 条 虚拟 服务 器 记录 中 的 某 条 真实 服务 器 记录 
删除 一 条 虚拟 服务 器 记录 中 的 某 条 真实 服务 器 记录 


-1 显示 内 核 虚拟 服务 器 表 


虚拟 服务 表 计 数 器 清 零 〈 清 空当 前 的 连接 数量 等 ) 


-Set 


Start-daemon 启动 同步 守护 进程 


-tcp tcpfin udp 设置 连接 超时 值 


--stop-daemon | 停止 同步 守护 进程 


-h 


显示 帮助 信息 


七 


说 明 虚 拟 服务 器 提供 的 是 TCP 服务 


已 


说 明 虚 拟 服务 器 提供 的 是 UDP 服务 


225 


CentOS 7 系统 管理 与 运 维 实战 


江 


说 明 
说 明 是 经 过 iptables 标记 过 的 服务 类 型 


( 续 表 ) 


使 用 的 调度 算法 ， 常 见 选项 rlwmllclwlcllblcllblerldhlshlsedInq 
持久 服务 


真实 的 服务 器 


指定 LVS 的 工作 模式 为 直接 路 由 模式 


指定 LVS 的 工作 模式 为 隧道 模式 


指定 LVS 的 工作 模式 为 NAT 模式 


真实 服务 器 的 权 值 


ellis | | RS 


显示 LVS 目前 的 连接 数 


2. LVS 配置 


显示 tcp tcpfin udp 的 timeout 值 
显示 同步 守护 进程 状态 

显示 统计 信息 

显示 速率 信息 

对 虚拟 服务 器 和 真实 服务 器 排序 输出 
输出 IP 地 址 和 端口 的 数字 形式 


首先 在 前 端 负载 均衡 器 192.168.32.100 做 相关 设置 , 包含 设置 VIP、 添加 LVS 的 虚拟 服务 
器 并 添加 真实 服务 器 。 操 作 步 骤 如 【示例 8-2】 所 示 。 


【示例 8-2】 


# 启 用 路 由 转发 功能 


[root@LD 192 168_32 100 ~]# echo "1" >/proc/sys/net/ipv4/ip_forward 


# 清 除 ipvsadm 表 
[root@LD 192 168 32 100 ~]# ipvsadm -C 
# 使 用 ipvsadm 安装 LVS 服务 


[root@LD 192 168_32 100 ~]# /sbin/ipvsadm -A -t 192.168.32.150:80 


# 增 加 第 1 台 realserver 


[root@LD 192 168_32_100 ~]# /sbin/ipvsadm -a -t 192.168.32.150:80 -r 


192.168.32.1:80 -m ~w 1 
# 增 加 第 2 台 realserver 


[rooteLD_192_168_32_100 ~]# /sbin/ipvsadm -a -t 192.168.32.150:80 -r 


192.168.32.2:80 -mm -~w 1 


上 述 示例 首先 清除 ipvsadm 表 ， 然 后 添加 LVS 虚拟 服务 ， 并 指定 NAT 模式 添加 真实 的 服 
务 器 ， 各 个 真实 服务 器 权重 指定 为 1， 其 他 参数 说 明 可 参考 表 8.2。 


3. Apache 服务 搭建 
Apache 服务 需要 在 真实 服务 器 上 部 署 , 部 署 完毕 后 需要 做 一 些 设置 并 启动 , 如 【示例 8-3】 


所 示 。 
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【示例 8-3】 


另外 一 个 节点 192.168.32.2 做 类 似 设 置 ， 不 同 之 处 在 于 首页 内 容 为 “welcome to 
192.168.32.2”， 其 他 情况 相同 。 


4. 真实 服务 器 设置 


如 需 LVS 代理 到 后 端的 真实 服务 器 ， 后 端 真 实 服务 器 需要 启动 服务 ， 并 确认 服务 端口 监 
听 在 0.0.0.0 或 VIP 上 ,然后 设置 真实 服务 器 的 VIP, 设置 VIP 的 网 络 接口 可 以 选择 eth0 或 tunl0。 
步骤 如 【示例 8-4】 所 示 。 


【示例 8-4】 
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当 客 户 端 访问 VIP 时 ， 会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 LD 和 Apache 真实 的 服务 
器 RS 都 设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 
机 器 响应 自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 
的 arp 广播 请 求 。 

5. LVS 测试 

确认 真实 后 端 服务 器 已 经 启动 并 监听 在 0.0.0.0, 并 且 真 实 服务 器 上 设置 了 VIP, LVS 前 端 
负载 均衡 器 已 经 添加 了 虚拟 服务 ， 然 后 进行 LVS 的 测试 ， 测 试 过 程 如 【示例 8-5】 所 示 。 


【示例 8-5】 


使 用 命令 行 测试 ， 从 上 面 的 结果 可 以 看 出 ，LVS 服务 器 已 经 成 功 运 行 。 


8.4.2 ”基于 DR 模式 的 LVS 的 安装 与 配置 

在 VS/NAT 的 集群 系统 中 ， 请 求 和 响应 的 数据 报 文 都 需要 通过 负载 均衡 器 ， 当 真实 服务 
器 的 数目 在 10 台 和 20 台 之 间 时 ,如 请 求 量 不 高 ， 则 运行 良好 ， 如 请 求 量 突 增 或 响应 报 文 包含 
大 量 的 数据 ， 负 载 均 衡器 将 成 为 整个 集群 系统 的 瓶颈 。VS/DR 利用 大 多 数 Internet 服务 的 非 
对 称 特点 ， 负 载 均衡 器 中 只 负责 调度 请 求 ， 而 服务 器 直接 将 响应 返回 给 客户 ,可 以 极 大 地 提高 
整个 集群 系统 的 吞吐 量 。 

1.ipvsadm 软件 安装 

首先 可 以 按 上 节 提 供 的 方法 安装 ipvsadm 软件 。 

2. LVS 配置 


首先 在 前 端 负载 均衡 器 192.168.32.100 做 相关 设置 , 包含 设置 VIP, 并 添加 LVS 的 虚拟 服 
务 器 并 添加 真实 服务 器 。 操 作 步 骤 如 【示例 8-6】 所 示 。 


【示例 8-6】 


上 述 示例 首先 清除 ipvsadm 表 ， 然 后 添加 LVS 虚拟 服务 ， 并 指定 用 直接 路 由 DR 模式 添 
加 真实 的 服务 器 ， 各 个 真实 服务 器 权重 指定 为 1， 其 他 参数 说 明 可 参考 表 8.2。 


3. Apache 服务 搭建 


Apache 服务 需要 在 真实 服务 器 上 部 署 ， 部 署 完毕 后 需要 做 一 些 设置 并 启动 ， 可 以 按 上 节 
的 方法 安装 和 部 署 。 


4. 真实 服务 器 设置 


如 需 LVS 代理 到 后 端的 真实 服务 器 ， 后 端 真实 服务 器 需要 启动 服务 ， 并 确认 服务 端口 监 
听 在 0.0.0.0 或 VIP 上 ,然后 设置 真实 服务 器 的 VIP。 设 置 VIP 的 网 络 接口 可 以 选择 eth0 或 tunl0。 
步骤 如 【示例 8-7】 所 示 。 


【示例 8-7】 
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里 与 运 维 实战 


当 客 户 端 访问 VIP 时 ， 会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 LD 和 Apache 真实 的 服务 
器 RS 都 设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 
机 器 响应 自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 
的 arp 广播 请 求 。 


5. LVS 测试 


确认 真实 后 端 服务 器 已 经 启动 并 监听 在 0.0.0.0, 并 且 真实 服务 器 上 设置 了 VIP, LVS 前 端 
负载 均衡 器 已 经 添加 了 虚拟 服务 ， 然 后 进行 LVS 的 测试 ， 测 试 过 程 如 【示例 8-8】 所 示 。 


【示例 8-8】 


使 用 浏览 器 或 命令 行 测试 ， 从 上 面 的 结果 可 以 看 出 ， LVS 服务 器 已 经 成 功 运行 。 

VS/DR 的 工作 流程 如 图 8.6 所 示 , 负载 均衡 器 根据 各 个 服务 器 的 负载 情况 , 动态 地 选择 一 
台 服 务 器 ， 将 数据 帧 的 MAC 地 址 改 为 选 出 服务 器 的 MAC 地 址 ， 再 将 修改 后 的 数据 帧 在 服务 
器 组 的 局 域 网 上 发 送 。 因 为 数据 帧 的 MAC 地 址 是 选 出 的 服务 器 ， 所 以 服务 器 肯定 可 以 收 到 这 
个 数据 帧 ， 从 中 可 以 获得 该 IP 报 文 。 当 服务 器 发 现 报 文 的 目标 地 址 VIP 是 在 本 地 的 网 络 设备 
上 ， 服 务 器 处 理 这 个 报 文 ， 然 后 根据 路 由 表 将 响应 报 文 直接 返回 给 客户 。 


IP 数 据 包 lw| | : 人 | 
;器 | 
天 


8.6 LVS DR 报 文 流程 
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8.4.3 ”基于 IP 隧道 模式 的 LVS 的 安装 与 配置 

卫 隧道 (IP tunneling) 是 将 一 个 IP 报 文 封装 在 另 一 个 IP 报 文 的 技术 ， 这 可 以 使 得 目标 
为 一 个 IP 地 址 的 数据 报 文 能 被 封装 和 转发 到 另 一 个 IP 地 址 。IP 隧道 技术 亦 称 为 IP 封装 技 
术 (IP encapsulation)。IP 隧道 主要 用 于 移动 主机 和 虚拟 私有 网 络 (Virtual Private Network)， 
在 其 中 隧道 都 是 静态 建立 的 ， 隧 道 一 端 有 一 个 卫 地 址 ， 另 一 端 也 有 唯一 的 卫 地 址 。 


1.ipvsadm 软件 安装 
首先 可 以 按 上 节 提 供 的 方法 安装 ipvsadm 软件 。 
2. LVS 配置 


首先 在 前 端 负载 均衡 器 192.168.32.100 做 相关 设置 , 包含 设置 VIP, 并 添加 LVS 的 虚拟 服 
务 器 并 添加 真实 服务 器 。 操 作 步 又 如 【示例 8-9】 所 示 。 


【示例 8-9】 


上 述 示例 首先 清除 ipvsadm 表 ， 然 后 添加 LVS 虚拟 服务 ， 并 指定 IP 隧道 模式 添加 真实 的 
服务 器 ， 各 个 真实 服务 器 权重 指定 为 1， 其 他 参数 说 明 可 参考 表 8.2。 


3. Apache 服务 搭建 


Apache 服务 需要 在 真实 服务 器 上 部 署 ， 部 署 完毕 后 需要 做 一 些 设置 并 启动 ， 可 以 按 上 节 
的 方法 安装 和 部 署 。 


4. 真实 服务 器 设置 


如 需 LVS 代理 到 后 端的 真实 服务 器 ， 后 端 真实 服务 器 需要 启动 服务 ， 并 确认 服务 端口 监 
听 在 0.0.0.0 或 VIP 上 ,然后 设置 真实 服务 器 的 VIP。 设 置 VIP 的 网 络 接口 可 以 选择 eth0 或 tunl0。 
步骤 如 【示例 8-10】 所 示 。 
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【示例 8-10】 


当 客户 端 访问 VIP 时 ， 会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 LD 和 Apache 真实 的 服务 
器 RS 都 设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 
机 器 响应 自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 
的 arp 广播 请 求 。 


5. LVS 测试 


确认 真实 后 端 服务 器 已 经 启动 并 监听 在 0.0.0.0, 并 且 真 实 服务 器 上 设置 了 VIP, LVS 前 端 
负载 均衡 器 已 经 添加 了 虚拟 服务 ， 然 后 进行 LVS 的 测试 ， 测 试 过 程 如 【示例 8-11】 所 示 。 


【示例 8-11】 


使 用 浏览 器 或 命令 行 测试 ， 从 上 面 的 结果 可 以 看 出 ，LVS 服务 器 已 经 成 功 运行 。 
VS/TUN 的 工作 流程 如 图 8.7 所 示 : 负载 均衡 器 根据 各 个 服务 器 的 负载 情况 ， 动 态 地 选择 
一 台 服 务 器 , 将 请 求 报 文 封装 在 另 一 个 IP 报 文中 , 再 将 封装 后 的 IP 报 文 转发 给 选 出 的 服务 器 ; 
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服务 器 收 到 报 文 后 ， 先 将 报 文 解 封 获得 原来 目标 地 址 为 VIP 的 报 文 ， 服 务 器 发 现 VIP 地 址 被 
配置 在 本 地 的 IP 隧道 设备 上 ， 所 以 就 处 理 这 个 请 求 ， 然 后 根据 路 由 表 将 响应 报 文 直接 返回 给 
客户 。 


IP 数 据 | vr ; 调度 器 收 到 数据 包 后 ， 选 择 一 ， 

; 个 服务 器 ， 使 用 该 服务 器 的 ITP 

empoUnryg ; 地 址 (DIP) 作为 目的 地 址 对 ，; 

| ' 数据 包 进 行 封装 : 
mIP | VIP ' 

sw w | | ; 真实 服务 收 到 数据 包 后 解 开 数 

; 据 包 ， 发 现 是 发 给 自己 的 包 ,于 ， 

ecspsulating ;是 将 数据 交 给 上 层 应 用 程序 处 

py 更 ， 宛 后 特 妆 所 直 拉 上 给 | 

+ 用 户 。 ! 


图 8.7 LVS TUN 模式 报 文 流程 


号 , ”利用 集群 拱 建 高 可 用 MySQL 平台 


本 节 主 要 以 高 可 用 MySQL 平台 为 例 介绍 负载 均衡 软件 LVS 和 高 可 用 软件 HA 在 MySQL 
方面 的 应 用 。 


8.5.1 高 可 用 MySQL 平台 的 功能 

随 着 MySQL 实例 的 增长 , 统一 的 监控 系统 是 必要 的 ， 有 效 及 时 的 监控 告警 可 以 保证 及 时 
发 现 系统 中 的 问题 ， 如 主 从 同步 状态 、 实 例 吞 吐 量 、 使 用 空间 、 慢 查询 数量 、 数 据 平均 访问 延 
迟 等 都 需要 及 时 了 解 ， 结 合 Web 化 的 管理 系统 是 一 个 有 效 手 段 。 为 避免 一 些 危险 操作 导致 数 
据 丢 失 或 恶意 算 改 ,在 热 备 的 基础 上 定期 冷 备 是 必要 的 ， 以 便 在 突 发 情况 下 恢复 数据 ， 同 时 冷 
备 数据 的 恢复 需要 做 定期 演练 以 便 确 认 冷 备 有 效 和 恢复 流程 。 

当 MySQL 实例 增多 时 ， 需 要 有 效 的 权限 管理 ，MySQL 权限 管理 一 般 基于 用 户 名 和 主机 
名 ， 可 按 需 分 配 增删 改 查 或 更 高 级 的 权限 ， 当 MySQL 实例 增 至 上 百 或 上 千 的 规模 ， 上 日 常 权 限 
的 管理 和 审计 需要 有 流程 化 的 运 维 工 具 支 撑 ， 同 时 DROP、ALTER 等 高 级 权限 应 该 避免 分 配 
给 开发 使 用 。 

由 于 实例 的 增长 ， 需 要 支撑 的 应 用 越 来 越 多 ， 如 何 避 免 应 用 开发 者 的 SQL 拖 垮 MySQL 
服务 或 耗 时 增加 , SQL 审核 尤其 是 数据 库 变 更 需要 制定 规范 和 流程 保证 。 尽管 有 了 SQL 审核 ， 
但 不 可 避免 地 存在 数据 库 慢 查询 , 开启 慢 查询 日 志 是 必要 的 , 同时 需要 对 慢 查 询 日 志 做 按 天 的 
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审计 ， 通 过 此 方法 可 以 及 时 发 现 系统 中 的 异常 SQL， 以 便 及 时 优化 。 

由 于 实例 的 增长 , 服务 器 故障 的 可 能 性 增加 , 如 何在 故障 的 情况 下 实现 应 用 的 快速 切换 是 
必须 考虑 的 问题 ， 一 种 是 通知 应 用 层 切 换 ， 此 种 方法 成 本 较 高 而 且 耗 时 较 长 ， 另 外 一 种 是 屏蔽 
MySQL 实例 的 细节 ， 由 MySQL 存储 层 完成 切换 ， 以 便 及 时 完成 故障 切换 。 同 时 由 于 访问 量 
急剧 增长 ， 完 善 的 扩容 和 数据 迁移 工具 是 需要 考虑 的 。 

综 上 所 述 ， 完 善 的 高 可 用 MySQL 平台 应 该 包含 以 下 功能 : 


(1) 有 效 的 监控 

(2) 完善 的 容 灾 及 故障 切换 

(3) SQL 审核 ， 慢 查询 审计 

(4) 有 效 的 权限 管理 

(5) 权限 管理 与 审计 

(6) Web 化 的 管理 系统 

(7) 扩容 、 迁 移 自动 化 

基于 以 上 需求 ， 建 设 高 可 用 MySQL 平台 是 必要 的 ， 限 于 篇 幅 本 章 主要 介绍 容 灾 方面 的 可 
选 方 案 。 


8.5.2 ”可 选 方案 对 比 

目前 开源 社区 有 很 多 优秀 的 代理 方案 ， 如 HAProxy、MySQL Proxy 和 域名 等 ， 每 种 方案 
各 有 优 缺 点 ， 在 不 同 的 场合 可 以 使 用 不 同 的 代理 方案 ， 本 节 主 要 对 比 这 几 种 方案 的 优 缺 点 。 

1. HAProxy 

HAProxy 提供 高 可 用 性 、 人 负载 均 衡 以 及 基于 TCP 和 HTTP 应 用 的 代理 ， 支 持 虚拟 主机 ， 
是 一 种 免费 、 快 速 并 且 可 靠 的 解决 方案 。HAProxy 比较 适用 于 那些 负载 特大 的 Web 站 点 ， 同 
样 可 以 代理 MySQL 等 服务 ,HAProxy 可 以 支持 数 以 万 计 的 并 发 连接 ,并 且 它 可 以 很 简单 地 整 
合 进 你 当前 的 业务 架构 中 ，HAProxy 可 以 使 Web 服务 器 不 被 暴露 到 公 网 上 。 

MySQL 主要 使 用 了 权限 管理 失效 代理 ，MySQL 的 权限 管理 基于 用 户 名 和 主机 名 ， 由 于 
是 应 用 层 代理 ， 需 要 对 HAProxy 的 主机 分 配 权限 ， 这 样 任何 知道 用 户 名 密码 的 用 户 都 可 以 连 
接 该 MySQL 示例 ， 对 于 数据 安全 造成 比较 大 的 隐患 。 结 合 iptables 防火 墙 可 以 缓解 此 问题 。 

2. MySQL Proxy 

MySQL Proxy 是 一 个 处 于 客户 端 和 MySQL 服务 端 之 间 的 代理 程序 ,可 以 监测 、 分 析 或 改 
变 客户 端 与 服务 器 端的 通信 。 使 用 灵活 ,没有 限制 ， 并 且 可 以 实现 负载 平衡 、 查 询 分 析 、 查 询 
过 滤 和 修改 等 功能 。MySQL Proxy 为 一 个 连接 池 ， 负 责 将 开发 者 应 用 层 的 连接 请 求 转发 给 数 
据 库 ， 并 且 可 以 通过 使 用 Lua 脚本 实现 复杂 的 连接 控制 和 过 滤 ， 从 而 实现 读 写 分 离 和 负载 平 
衡 。 对 于 开发 者 来 说 是 完全 透明 的 ， 应 用 则 只 需要 连接 到 MySQL Proxy 的 监听 端口 即 可 。 

当然 ， 这 样 Proxy 机 器 可 能 成 为 单 点 失效 ， 但 完全 可 以 使 用 多 个 Proxy 机 器 作为 元 余 ， 开 
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发 者 应 用 负责 故障 时 的 切换 。MySQL Proxy 可 以 实现 读 写 分 离 ， 基 本 原理 是 让 主 数据 库 处 理 
事务 性 查询 , 让 从 库 处 理 查 询 。 数据 库 复制 被 用 来 把 事务 性 查询 导致 的 变更 同步 到 集群 中 的 从 
库 。 其 最 新 版 本 可 以 在 http://dev.mysql.com/downloads/mysql-Proxy/ 获 取 。 


3. 域名 


域名 方式 类 似 本 机 配置 hosts 的 方式 ， 在 出 现 故 障 时 通过 更 改 域名 指向 可 以 快速 将 开发 者 
应 用 切换 到 其 他 的 MySQL 服务 器 ， 此 方案 需要 维护 一 套 DNS 系统 ， 增 加 了 维护 成 本 ， 同 时 
DNS 服务 需要 主 备 部 署 以 便 应 对 突 发 情况 。 


4. hosts 配置 管理 


本 方法 可 以 在 主机 上 配置 一 系列 的 hosts， 通 过 批量 管理 工具 如 puppet 可 以 实现 hosts 文 
件 的 统一 配置 管理 ， 通 过 相关 程序 实现 自动 监控 和 hosts 的 自动 修改 ， 可 以 作为 一 种 可 选 的 解 
决 问题 的 方法 。 需 要 注意 的 是 切换 后 要 注意 MySQL 长 链接 的 切换 。 


8.5.3 ”高 可 用 MySQL 平台 实现 方案 
上 节 介 绍 了 目前 几 种 优秀 的 MySQL 代理 方案 , 如 HAProxy、MySQL Proxy 和 域名 等 , 每 
种 方案 各 有 优 缺 点 ， 在 不 同 的 场合 可 以 使 用 不 同 的 代理 方案 ， 本 项 目 实现 的 方案 为 : 
LVS+HA+PORT+iptables， 其 中 iptables 是 可 选 的 步骤 。 
LVS 集群 采用 IP 负载 均衡 技术 和 基于 内 容 请 求 分 发 技术 。 调 度 器 具有 很 好 的 吞吐 率 ， 将 
请 求 均衡 地 转移 到 不 同 的 服务 器 上 执行 , 且 调 度 器 自动 屏蔽 掉 服务 器 的 故障 ,从 而 将 一 组 服务 
器 构成 一 个 高 性 能 的 、 高 可 用 的 虚拟 服务 器 集群 。 整个 服务 器 集群 的 结构 对 客户 是 透明 的 , 而 
且 无 须 修改 客户 端 和 服务 器 端的 程序 。 在 MySQL 代理 方面 有 不 俗 的 表现 ,不失为 一 种 优秀 的 


代理 方案 。 


本 方案 中 LVS 主要 解决 负载 均衡 和 调度 管理 ,HA 负责 前 端 代理 服务 的 高 可 用 , 在 成 百 上 
千 的 MySQL 应 用 中 采用 端口 区 分 不 同 的 应 用 ，iptables 实现 权限 的 控制 与 异常 请 求 来 源 处 理 。 


8.5.4 搭建 MySQL 集群 
MySQL 集群 涉及 的 资源 信息 如 表 8.3 所 示 。 


表 8.3 MySQL 集群 资源 信息 说 明 


MySQL 实例 启动 时 需要 的 配置 文件 模板 


mysql.conf MySQL 实例 配置 文件 模板 需要 的 参数 设置 ， 每 行 表示 一 个 实例 需要 的 参数 

genImstance.Sh 根据 mysql.conf 和 my.cnf 生成 每 个 实例 需要 的 配置 文件 并 启动 对 应 实例 ， 分 配 
对 应 的 管理 账户 

jepoont | MysQL 实例 主 从 配置 ， 每 行 代表 一 对 主 从 配置 

Tep.sh | 根据 rep.conf 自动 给 对 应 的 从 库 分 配 热 备 需要 的 用 户 名 和 密码 
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( 续 表 ) 
参数 
MySQL 实例 主 从 配置 ， 与 rep.conf 配置 文件 对 应 
根据 rebei.conf 读 取 主 数据 库 的 binglog 位 置 并 自动 措 建 主 从 关系 
这 人 台 机 器 可 以 登录 所 有 MySQL 实例 ， 以 便 进行 日 常 管理 


如 MySQL 实例 较 多 ， 端 口 分 配 需 要 遵守 一 定 的 规则 ， 本 方案 统一 采用 5 位 端口 号 ， 单 个 
VIP 理论 上 可 以 容纳 5 万 多 个 端口 应 用 10000-65535， 可 以 满足 绝 大 多 数 应 用 场景 。 其 中 第 1 
位 表示 是 主 数据 库 还 是 从 数据 库 ，1 表示 主 数据 库 ，2 表示 是 主 数据 库 的 第 1 级 从 库 ，3 表示 
连接 在 第 1 级 从 库 后 面 的 从 库 ， 其 他 数值 依次 类 推 。 后 面 两 位 用 于 标识 每 个 开发 者 应 用 ， 最 后 
两 位 表示 每 个 应 用 对 应 的 MySQL 实例 编号 ， 如 01 表示 该 应 用 的 第 1 个 数据 库 ， 如 应 用 分 库 
分 表 ， 则 直接 可 以 向 上 累加 ， 一 直到 99。 为 便于 演示 ， 本 节 主 要 搭建 两 对 MySQL 主 从 实例 ， 
其 基本 信息 如 【示例 8-12】 所 示 。 


【示例 8-12】 


本 节 需 要 的 实例 对 采用 脚本 完成 ， 不 同 的 MySQL 实例 使 用 相同 的 MySQL 配置 文件 模 
板 ， 模 板 中 设 定 了 一 些 有 关 每 个 MySQL 实例 个 性 化 的 设置 ， 然 后 通过 主 执行 脚本 读 取 该 配置 
文件 ， 然 后 完成 MySQL 实例 的 配置 。 

1. MySQL 安装 


MySQL 的 安装 可 以 采用 源码 或 pm 包 安 装 ， 具 体 的 安装 过 程 可 以 参考 第 6 章 有 关内 容 ， 
本 节 主 要 采用 源码 安装 的 方法 ， 如 【示例 8-13】 所 示 。 


【示例 8-13】 


本 示例 中 的 MySQL 配置 文件 模板 主要 说 明 MySQL 配置 文件 模板 的 代表 性 的 几 个 参数 ， 
更 多 配置 参数 含义 可 参考 MySQL 帮助 文档 。MySQL 实例 配置 文件 模板 主要 参数 内 容 如 【 示 
例 8-14】 所 示 。 


【示例 8-14】 


上 述 示 例 中 主要 参数 有 MySQL 实例 启动 时 绑 定 的 IP， 可 以 使 用 0.0.0.0 或 VIP， 本 节 采 
用 的 LVS 3 种 模式 中 的 TUN 模式 ， 依 据 其 原理 ， 当 请 求 包 到 达 MySQL 实例 所 在 的 网 络 接口 
时 ， 由 于 数据 包 的 目的 IP 是 VIP 和 端口 ,如果 MySQL 服务 器 绑 定 本 机 卫 或 127.0.0.1， 数 据 
包 将 会 被 丢弃 ， 从 而 客户 端 不 能 连接 MySQL 服务 器 。 

与 MySQL 配置 文件 模板 对 应 的 为 参数 设置 文件 mysql.conf， 每 行 对 应 一 个 实例 需要 传 入 
模板 文件 的 参数 ， 如 【示例 8-15】 所 示 。 


【示例 8-15】 


需要 设置 的 代表 性 的 参数 有 : 
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数据 库 数据 目录 datadir， 主 要 存放 MySQL 实例 的 数据 文件 、 日 志 等 。 

二 进 制 文件 binlog 的 目录 ，binlog 是 部 署 数据 库 主 从 服务 器 必须 的 文件 。 

MySQL 实例 启动 后 监听 的 端口 。 

每 个 MySQL 实例 需要 innodb 缓存 参数 innodb_buffer pool size MySQL 实例 默认 采 
用 innodb 引擎。 


genInstance.sh 脚本 的 主要 功能 是 读 取 MySQL 配置 文件 模板 my.cnf 和 参数 设置 文件 
mysql.conf， 通 过 一 定 的 设置 后 启动 相对 应 的 MySQL 示例 。 启 动 完 毕 后 分 配 相关 的 用 户 名 和 
密码 ， 分 配 的 管理 账户 用 户 名 为 “admin”， 密 码 为 “admin”， 客 户 端 IP 为 192.168.3.200。 
脚本 内 容 如 【示例 8-16】 所 示 。 


【示例 8-16】 
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上 述 脚本 主要 包含 3 个 函数 : 


main 为 主 函 数 ， 通 过 调用 其 他 函数 完成 脚本 实现 的 功能 。 

setENV 函数 主要 用 于 设置 脚本 需要 的 环境 变量 ， 如 文件 搜索 路 径 PATH， 获 取 本 机 
IP 等 。 

process 函数 首先 读 取 参数 配置 文件 mysql.conf， 通 过 对 比 IP 找 出 需要 在 本 机 启动 的 
MySQL 实例 配置 。 然 后 依次 读 取 每 行 参数 ， 创 建 需要 的 数据 目录 datadir，binlog 目 
录 ， 替换 my.cnf 中 的 参数 生成 每 个 实例 需要 的 配置 文件 配置 文件 位 于 /etc 目录 下 。 
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第 39 行 功能 为 初始 化 MySQL 实例 需要 的 系统 表 ， 第 40 行为 启动 MySQL 实例 并 放 入 后 
台 执 行 。 由 于 MySQL 实例 启动 需要 一 定时 间 ， 通 过 sleep 30 秒 等 待 实例 启动 完成 ， 通 过 本 地 
socket 方式 登录 MySQL 并 分 配 用 户 管理 的 用 户 名 密码 192.168.3.200 是 用 于 管理 所 有 MySQL 
实例 的 主机 。 

经 过 以 上 步骤 完成 了 MySQL 单个 实例 的 部 署 ， 接 下 来 进行 MySQL 热 备 环境 的 部 署 。 热 
备 环境 的 部 署 主要 经 过 两 步 : 


(1) 主 MySQL 实例 给 从 MySQL 分 配 热 备 需要 的 用 户 名 和 密码 。 
(2) 由 于 MySQL 实例 是 新 部 署 的 , 没有 应 用 数据 , 因此 从 数据 库 可 以 直接 获取 主 MySQL 
的 binglog 位 置 ， 然 后 通过 指定 的 命令 连接 到 主 MySQL 实例 。 
2. 从 库 通过 “start slave” 启 动 MySQL 热 备 并 检查 
各 个 实例 之 间 的 主 从 关系 如 【示例 8-17】 所 示 。 
【示例 8-17】 


上 述 配 置 文件 每 一 行 四 列 ， 每 行 表示 一 对 MySQL 主 从 关系 设置 。 前 两 列表 示 主 MySQL 
实例 的 服务 器 IP 和 端口 ， 后 两 列表 示 从 数据 库 的 服务 器 IP 和 端口 。 

rep.sh 功能 为 读 取 rep.conf 的 配置 ， 然 后 在 MySQL 主 服务 器 上 分 配 从 数据 库 搭建 热 备 时 
需要 的 用 户 名 和 密码 ， 用 户 名 为 “rep”， 密码 为 空 。 脚 本 源码 如 【示例 8-18】 所 示 。 


【示例 8-18】 


此 脚本 在 MySQL 主 实例 在 的 机 器 上 运行 运行 成 功 后 会 自动 分 配 从 数据 库 搭建 热 备 需要 
的 用 户 名 和 密码 。 

完成 热 备 需要 的 用 户 名 密码 后 , 接 下 来 进行 热 备 关系 的 措 建 , 热 备 关系 的 拱 建 也 是 通过 肢 
本 完成 。 

rebei.conf 配置 类 似 于 rep.conf， 不 同 的 是 前 两 列 是 从 库 的 服务 器 IP 和 端口 ， 后 两 列 为 主 
服务 器 的 服务 器 IP 和 端口 。 配 置 文件 如 【示例 8-19】 所 示 。 


【示例 8-19】 


rebei.sh 功能 为 读 取 rebei.conf 的 配置 ， 然 后 在 MySQL 从 服务 器 上 得 到 主 服务 器 当前 的 
binlog 文件 名 和 位 置 ， 然 后 通过 “change master” 命 令 设 置 主 从 关系 ， 设 置 成 功 后 使 用 “start 
slave” 开 启 热 备 。 脚 本 源码 如 【示例 8-20】 所 示 。 
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【示例 8-20】 


关键 代码 : 第 31 行 通过 “show master logs” 获 取 主 数据 库 的 binlog 文件 列表 ， 然 后 取出 
最 新 的 文件 名 和 位 加 对 应 文件 列表 结果 的 最 后 一 行 设置 主 从 关系 的 “CHANGE MASTER” 
命令 为 以 下 格式 : 


【示例 8-21】 
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MASTER_HOST 为 主 MySQL 数据 库 服 务 器 的 耻 ，MASTER_ PORT 为 主 MySQL 数据 库 
服务 器 监听 的 端口 ，MASTER_USER 为 主 数据 库 服 务 器 上 分 配给 从 数据 库 服务 的 用 户 名 ， 
MASTER_PASSWORD 为 对 应 密码 ，MASTER_LOG _FILE 表示 指定 从 数据 库 服务 器 启动 热 备 
时 读 取 的 主 数据 库 服务 器 binlog 文件 名 ，MASTER_LOG _POS 为 对 应 位 置 。 

rebei.sh 在 从 数据 库 所 在 机 器 执行 ， 经 过 上 面 的 步骤 各 个 实例 之 间 的 主 从 关系 已 经 设置 完 
毕 ， 脚 本 执行 过 程 中 如 有 问题 可 以 根据 具体 错误 信息 然后 排查 。 


8.5.5 ”搭建 负载 均衡 LVS 
LVS 集群 涉及 的 资源 信息 如 表 8.4 所 示 。 
表 8.4 LVS 资源 信息 说 明 
参数 说 阴 
LVS 前 端 LD 主机 
LVS 前 端 LD 备 机 
部 署 了 MySQL 实例 主 数据 库 ， 端 口 10101 


根据 以 上 资源 ， 搭 建 LVS 的 步骤 主要 分 为 资源 规划 、 内 核 编译 、LVS 软件 安装 ，VIP 设 
置 ， 真 实 服务 器 设置 等 步骤 ，LVS 采用 IP 隧道 模式 ， 可 以 跨 网 段 并 且 配置 灵活 ， 以 下 为 详细 
的 操作 步骤 。 

1. 资源 规划 

本 节 要 实现 的 是 使 用 户 通过 VIP 访问 后 端的 MySQL 服务 器 。 正 常情 况 下 VIP 设置 在 
192.168.3.87 或 192.168.3.87 所 在 的 机 器 。 为 当前 端 访问 192.168.3.118 上 面 的 端口 时 LVS 自动 
转 接 到 后 端 对 应 的 MySQL 应 用 。LVS 代理 信息 说 明 如 表 8.5 所 示 。 

表 8.5 LVS 代 理 信 息 说 明 

MySQL 实例 所 在 IP 


实际 1P 地 址 VIP 访问 的 VIP 端口 MySQL 实例 端口 


192.168.3.87 192.168.3.118 192.168.3.100 

192.168.3.87 192.168.3.118 192.168.3.101 20101 

192.168.3.87 | 192.168.3.118 192.168.3.102 10201 

192.168.3.87 | 192.168.3.118 192.168.3.103 20201 
2. 内 核 编译 升级 


由 于 采用 LVS 模式 中 的 IP 隧道 模式 ， 因 此 要 确认 内 核 支 持 IP 隧道 ， 确 认命 令 如 【示例 
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8-22】 所 示 ， 如 不 支持 ， 则 需要 重新 编译 内 核 。 
【示例 8-22】 


升级 内 核 步骤 如 【示例 8-23】 所 示 。 
【示例 8-23】 


出 现 内 核 编译 设置 界面 ， 选 择 【Networking support】， 然 后 选择 【Networking options】 ， 选 
中 【<M> IP: tunneling】， 退 出 并 保存 设置 。 


【示例 8-23】 续 
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然后 将 文件 保存 ， 本 


[ea 


启 ， 进 行 系统 引导 时 ， 选 择 “CentOS (2.6.32-LVS-LD)”， 即 可 使 用 


编译 好 的 内 核 。 下 一 步 进 行 LVS 管理 软件 的 安装 。 


3. ipvsadm 软件 安装 
ipvsadm 采用 的 版 本 为 ipvsadm-1.26.tar.gz， 安 装 方式 为 从 源码 安装 。 安 装 过 程 如 【示例 


8-24】 所 示 。 


【示例 8-24】 


[root@CentOs soft]# tar xvf ipvsadm-1.26.tar.gz 
[root@CentOsS ipvsadm-1.26]# make 
[root@CentOsS ipvsadm-1.26]# make install 


安装 完毕 后 主要 的 程序 有 3 个 : 


@ /sbin/ipvsadm 为 LVS 主管 理 程序 ， 负 责 RS 的 添加 、 人 删除 和 修改 
@ ipvsadm-save 用 户 备份 LVS 配置 
@ ipvsadm-restore 用 于 恢复 LVS 配置 


ipvsadm 常用 参数 说 明 如 表 8.6 所 示 。 
表 8.6 ipvsadm 常用 参数 说 明 


参数 说 明 


~help 查看 帮助 


清空 ipvs 链表 

增加 虚拟 服务 

表示 TCP 服务 

表示 添加 某 条 链 路 服务 至 虚拟 服务 链 路 
真实 服务 器 地 址 

编辑 虚拟 服务 

删除 某 条 虚拟 服务 

表示 IPIP 隧道 服务 


4. 配置 虚拟 IP 
客户 端 访问 MySQL 时 ， 需 要 访问 VIP 和 端口 ， 然 后 LVS 根据 配置 转 到 实际 的 MySQL 


服务 器 ， 而 MySQL 服务 器 的 真实 IP 对 客户 端 是 不 可 见 的 。 配 置 虚拟 IP 需要 在 一 台 LD 上 和 
所 有 MySQL 数据 库 服 务 器 上 配置 。 


LD 上 配置 过 程 如 【示例 8-25】 所 示 。 


【示例 8-25】 
[root@CentOs ipvsadm-1.26]# ifconfig tunl0 192.168.3.118 netmask 


255.255.255.255 
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后 端 MySQL 服务 器 设置 命令 如 【示例 8-26】 所 示 。 
【示例 8-26】 


当 客户 端 访问 VIP 时 ,会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 和 MySQL 真实 的 服务 器 都 
设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 机 器 响应 
自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 的 arp 广 
播 请 求 。 


5. MySQL 实例 配置 


确认 VIP 在 前 端 负 载 均衡 器 和 后 端 真实 服务 器 上 设置 完毕 后 , 然后 进行 MySQL 实例 的 添 
加 ， 添 加 的 命令 如 【示例 8-27】 所 示 。 


【示例 8-27】 
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经 过 以 上 的 步骤 ，MySQL 服务 在 LVS 中 的 设置 已 经 完成 ， 设 置 完毕 后 进行 MySQL 实例 
的 测试 。 可 登录 192.168.3.200， 测 试 过 程 如 【示例 8-28】 所 示 。 


【示例 8-28】 


经 过 上 面 的 步骤 ， 使 用 LVS 代理 MySQL 的 步骤 已 经 完成 ， 通 过 LVS 访问 MySQL 的 需 
求 已 经 实现 。 每 个 LVS 虚拟 服务 后 可 以 添加 多 台 MySQL 实例 ， 比 如 有 两 台 或 更 多 的 从 库 部 
署 在 不 同 的 服务 器 上 ， 数 据 相同 ， 提 供 的 是 相同 的 服务 ， 可 以 添加 到 共同 的 LVS 虚拟 服务 中 ， 
这 样 便 可 以 实现 MySQL 访问 的 负载 均衡 。 
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如 果 需 要 更 高 的 可 用 性 ， 需 要 对 前 端的 负载 均衡 器 做 双 机 热 备 ， 常 见 的 方案 有 Heartbeat 
和 keepalived, 本 节 将 采用 Heartbeat 作为 双 机 热 备 的 方案 ,可 以 做 到 在 主 节点 故障 时 备 节 点 迅 
速 接管 服务 。 具 体 步骤 将 在 下 一 节 介绍 。 


8.5.6 ”搭建 双 机 热 备 HA 

经 过 上 一 节 的 配置 LVS 已 经 可 以 正常 提供 服务 ， 但 为 了 保证 更 高 的 可 用 性 ， 需 要 对 前 端 
的 复杂 均衡 器 做 双 机 热 备 ， 常 见 的 方案 有 Hearbeat 或 keepalive， 本 节 以 hearbeat 为 例 说 明 双 
机 热 备 的 部 署 过 程 。 

最 新 版 本 的 Heartbeat 可 以 支持 前 端 负载 均衡 器 的 集群 部 署 , 本 节 的 示例 以 Heartbeat 双 机 
热 备 为 例 介绍 部 署 过 程 。HA 的 部 署 要 经 过 软件 安装 、 配 置 文件 设置 、 配 置 haresources、 配 置 
authkeys 和 配置 资源 管理 脚本 几 个 步骤 。 


1. HA 相关 软件 安装 


Heartbeat 本 节 采 用 的 版 本 为 2.1.4， 首 先 安装 HA 需要 的 依赖 库 ， 然 后 进行 HA 软件 的 安 
装 ， 安 装 过 程 如 【示例 8-29】 所 示 。 


【示例 8-29】 


以 上 步骤 如 没有 什么 错误 提示 ， 则 完成 了 HA 软件 的 安装 ， 备 节点 部 署 过 程 同 主 节点 。 


2. 两 台 负 载 均衡 器 配置 hosts 


配置 HA 需要 的 hosts， 其 中 主机 名 需要 与 “hostname” 输 出 相同 。 主 备 节点 需要 做 同样 
设置 ， 如 【示例 8-30】 所 示 。 
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【示例 8-30】 


3. 配置 /etc/ha.d/ha.cf 


/etc/ha.d/ha.cf 为 HA 服务 的 主 配置 文件 ， 此 文件 指定 了 故障 接管 时 的 一 些 条 件 和 参数 ,此 
配置 主 备 节点 内 容 可 以 一 致 。 文 件 内 容 如 【示例 8-31】 所 示 。 


【示例 8-31】 


4. 配置 /etc/ha.d/haresources 


/etc/ha.d/haresources 指定 了 需要 备 节点 接管 的 资源 ， 如 IP 资源 ， 共 享 存储 或 其 他 主 节点 
故障 时 需要 转移 到 备 节点 的 资源 。 


【示例 8-32】 


上 述 示 例 指 定 了 192.168.3.87 为 主 节点 ， 主 节点 故障 时 需要 备 节点 接管 的 资源 有 虚拟 


IP192.168.3.118， 然 后 为 myop.sh 脚本 指定 的 资源 ， 其 中 myop.sh 为 一 个 可 以 接收 “start” 和 
“stop” 的 服务 。 这 个 配置 主 备 节点 一 致 即 可 。 


5. 配置 /etc/ha.d/authkeys 


/etc/ha.d/authkeys 的 作用 是 设置 数字 签名 密 钥 和 算法 ， 此 设置 两 个 节点 完全 一 样 ， 设 置 步 
又 如 【示例 8-33】 所 示 。 


【示例 8-33】 


文件 权限 设置 为 “600” 表 示 只 有 root 用 户 可 以 操作 此 文件 ， 如 此 文件 属性 未 被 正确 配 
置 ，Heartbeat 程序 将 不 能 启动 ， 同 时 打印 错误 信息 。 


6. 资源 管理 脚本 
HA 在 资源 接管 时 需要 执行 特定 的 脚本 以 便 初始 化 相关 资源 ， 如 IP 地 址 等 HA 提供 了 脚 
本 可 直接 调用 ,如 需 接管 其 他 资源 则 需要 编写 程序 辅助 ， 本 示例 中 的 LVS 设置 属于 此 种 情况 。 


编写 的 脚本 为 可 以 接收 “start” 和 “stop” 的 脚本 ， 用 于 初始 化 资源 和 取消 相关 设置 。 脚 本 内 
容 如 【示例 8-34】 所 示 。 


【示例 8-34】 
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上 述 示例 中 脚本 myop.sh 用 于 控制 VIP 和 LVS 虚拟 服务 的 配置 , 接收 “start” 和 “stop” 
参数 。 


7. 启动 HA 服务 


经 过 上 面 的 配置 ，HA 服务 已 经 搭建 完成 ， 需 要 分 别 在 两 个 节点 上 启动 HA 服务 ， 启 动 后 
可 以 用 ps 命令 查看 是 否 启动 成 功 ， 启 动 命 名 如 【示例 8-35】 所 示 。 


【示例 8-35】 


如 没有 错误 提示 则 正常 启动 了 HA 服务 ， 接 下 来 将 进行 HA 的 测试 。 


8.5.7 ”项 目测 试 
经 过 上 面 的 配置 ，LVS 可 以 正常 提供 服务 ，HA 已 经 生效 ， 测 试 过 程 如 下 。 
1. LVS 测试 


设置 完毕 后 登录 192.168.3.200 进行 MySQL 实例 的 登录 测试 ， 模 拟 用 户 的 登录 请 求 ， 登 
录 的 用 户 名 为 admin， 密 码 为 admin， 用 户 名 和 密码 已 经 在 安装 MySQL 实例 时 分 配 。 


【示例 8-36】 


2. HA 测试 


HA 测试 可 以 通过 模拟 故障 , 停止 heartbeat 进程 或 直接 重启 主机 ， 然 后 观察 备 机 是 否 接管 
了 主机 的 资源 ， 测 试 过 程 【 示 例 8-37】 所 示 。 


【示例 8-37】 


此 时 VIP 位 于 主机 192.168.3.87，LVS 配置 正常 ， 重 启 主机 192.168.3.87， 观 察 备 机 
192.168.3.88 的 日 志 。 


【示例 8-38】 
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以 上 日 志 中 首先 备 机 检测 到 了 主机 故障 ， 然 后 根据 预先 的 设置 接管 资源 ， 并 执行 了 自 定义 
的 LVS 脚本。 检查 命 令 如 【示例 8-39】 所 示 。 


【示例 8-39】 


其 他 故障 情况 下 的 接管 情况 可 根据 实际 情况 进行 测试 。 经 过 上 面 的 介绍 MySQL 平台 的 高 
可 用 部 分 已 经 介绍 完毕 ， 其 他 方面 读者 可 参考 其 他 资料 。 


号 .6 小结 


集群 技术 已 经 成 为 目前 应 用 的 热点 ， 本 章 主要 介绍 了 传统 的 集群 软件 及 集群 的 体系 结构 。 
本 章 以 集群 软件 LVS (Linux Virtual Server) 及 其 负载 调度 算法 为 例 ， 介 绍 了 高 可 用 集群 的 部 
署 过 程 及 其 应 用 。LVS 提供 了 3 种 负载 均衡 方式 ，NAT 由 于 所 有 请 求 都 需要 经 过 前 端的 负载 
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均衡 器 ， 限 制 了 集群 的 扩展 ; DR 模式 则 需要 集群 中 的 真实 服务 器 位 于 同一 局 域 网 ， 也 同样 限 
制 了 其 使 用 范围 ， 相 比 而 言 隧道 模式 是 最 灵活 的 一 种 ， 可 以 跨 网 段 甚至 跨 地 域 ， 需 重点 掌握 。 

MySQL 因 开 源 和 容易 使 用 的 特点 为 众多 开发 者 或 大 型 公司 所 采用 。 随 着 MySQL 实例 的 急 
剧 增长 会 带 来 一 系列 的 问题 ， 监 控 与 容 灾 更 需要 平台 化 。 本 章 最 后 以 上 百 个 MySQL 实例 作为 
应 用 场景 ， 从 需求 分 析 、 可 选 方案 、 项 目 实现 、 项 目测 试 等 方面 介绍 LVS 和 HA 在 MySQL 方 
面 的 应 用 。HA 主要 用 于 主 节点 故障 情况 下 的 资源 接管 ，LVS 则 主要 保证 日 常 访问 的 负载 均衡 。 
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在 互联 网 高 速 发 展 的 今天 ,尤其 是 电子 商务 的 发 展 ， 要 求 服务 器 能 够 提供 不 间断 服务 。 在 
电子 商务 中 ， 如 果 服 务 器 宕 机 ， 造 成 的 损失 是 不 可 估量 的 。 要 保证 服务 器 不 间断 服务 ， 就 需要 
对 服务 器 实现 元 余 。 在 众多 的 实现 服务 器 见 余 的 解决 方案 中 , Pacemaker 为 我 们 提供 了 廉价 的 、 
可 伸缩 的 高 可 用 集群 方案 。 

本 章 首 先 介绍 高 可 用 性 集群 技术 ,然后 介绍 高 可 用 软件 Pacemaker 和 keepalived 的 搭建 与 
应 用 。 

本 章 主要 涉及 的 知识 点 有 : 


@ 高 可 用 性 集群 技术 
@。” 双 机 热 备 软 件 Pacemaker 的 应 用 
@。” 双 机 热 备 软件 keepalived 的 应 用 


加 .高 可 用 性 集群 技术 


随 着 互联 网 的 增长 ， 互 联网 已 经 成 为 人 们 生活 中 的 一 部 分 ， 对 网 络 的 依赖 不 断 增加 ， 电 子 
商务 使 得 订单 一 天 24 小 时 不 间断 地 进行 成 为 可 能 。 如 果 服 务 器 宕 机 ， 造 成 的 损失 是 不 可 估量 
的 。 每 一 分 钟 的 宕 机 都 意味 着 收入 、 生 产 和 利润 的 损失 ， 甚 至 市 场地 位 的 削弱 。 要 保证 服务 器 
不 间断 服务 , 就 需要 对 服务 器 实现 元 余 。 新 的 网 络 应 用 使 得 各 个 服务 的 提供 者 对 计算 机 的 要 求 
达到 了 空前 的 程度 ， 电 子 商务 需要 越 来 越 稳定 可 靠 的 服务 系统 。 


9.1.1 可 用 性 和 集群 
可 用 性 是 指 一 个 系统 保持 在 线 并 且 可 供 访问 , 有 很 多 因素 会 造成 系统 宕 机 , 包括 为 了 维护 
而 有 计划 的 宕 机 以 及 意外 故障 等 ,高 可 用 性 方案 的 目标 就 是 使 宕 机 时 间 以 及 故障 恢复 时 间 最 小 
化 ， 高 可 用 性 集群 ， 原 义 为 High Availability Cluster， 简称 HA Cluster， 是 指 以 减少 服务 中 断 
〈 罕 机 ) 时 间 为 目的 的 服务 器 集群 技术 。 
所 谓 集群 , 是 提供 相同 网 络 资源 的 一 组 计算 机 系统 。 其 中 的 每 一 台 提供 服务 的 计算 机 ， 可 
以 称 之 为 节点 。 当 一 个 节点 不 可 用 或 来 不 及 处 理 客户 的 请 求 时 , 该 请 求 将 会 转 到 另外 的 可 用 节 
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点 来 处 理 。 对 于 客户 端 应 用 来 说 , 不 必 关 心 资源 调度 的 细节 ， 所 有 这 些 故 障 处 理 流程 集群 系统 
可 以 自动 完成 。 

集群 中 节点 可 以 以 不 同 的 方式 来 运行 ， 比 如 同时 提供 服务 或 只 有 其 中 一 些 节点 提供 服务 ， 
另外 一 些 节点 处 于 等 待 状态 。 同 时 提供 服务 的 节点 ， 所 有 服务 器 都 同时 处 于 活动 状态 ， 也 就 是 
在 所 有 节点 上 同时 运行 应 用 程序 ， 当 一 个 节点 出 现 故 障 时 ,监控 程序 可 以 自动 剔除 此 节点 ， 而 
客户 端 觉察 不 到 这 些 变化 。 处 于 激活 状态 的 节点 在 故障 时 由 备 节点 随时 接管 , 由 于 平时 只 
些 节 点 提供 服务 ， 可 能 会 影响 应 用 的 性 能 。 在 正常 操作 时 ， 另 一 个 节点 处 于 备用 状态 ， 只 有 当 
活动 的 节点 出 现 故 障 时 该 备用 节点 才 会 接管 工作 , 但 这 并 不 是 一 个 很 经 济 的 方案 , 因为 应 用 必 
须 同时 采用 两 个 服务 器 来 完成 同样 的 事情 。 虽 然 当 出 现 故障 时 不 会 对 应 用 程序 产生 任何 影响 ， 
但 此 种 方案 的 性 价 比 并 不 高 。 


9.1.2 ”集群 的 分 类 
从 工作 方式 出 发 ， 集 群 分 为 下 面 3 种 : 


(1) 主 / 主 

这 是 最 常见 的 集群 模型 , 提供 了 高 可 用 性 , 这 种 集群 必须 保证 在 只 有 一 个 节点 时 可 以 提供 
服务 ， 提 供 客 户 可 以 接受 的 性 能 。 该 模型 最 大 程度 地 利用 服务 器 软 硬 件 资源 。 每 个 节点 都 通 
过 网 络 对 客户 机 提供 网 络 服务 。 每 个 节点 都 可 以 在 故障 转移 时 临时 接管 另 一 个 节点 的 工作 。 
所 有 的 服务 在 故障 转移 后 仍 保持 可 用 ， 而 后 端的 实现 客户 端 并 不 用 关心 ， 所 有 后 端的 工作 对 
客户 端 是 透明 的 。 

(2) 主 /从 

与 主 / 主 模型 不 同 ， 限 于 业务 特性 ， 主 /从 模型 需要 一 个 节点 处 于 正常 服务 状态 ， 而 另外 一 
个 节点 处 于 备用 状态 。 主 节点 处 理 客户 机 的 请 求 , 而 备用 节点 处 于 空闲 状态 ,当主 节点 出 现 故 
障 时 ， 备 用 节点 会 接管 主 节点 的 工作 ， 继 续 为 客户 机 提供 服务 ， 并 且 不 会 有 任何 性 能 上 影响 。 

(3) 混合 型 

混合 型 是 上 面 两 种 模型 的 结合 , 可 以 实现 只 针对 关键 应 用 进行 故障 转移 , 这 样 可 以 对 这 些 
应 用 实现 可 用 性 的 同时 让 非 关 键 的 应 用 在 正常 运作 时 也 可 以 在 服务 器 上 运行 。 当 出 现 故 障 时 ， 
出 现 故障 的 服务 器 上 的 不 太 关键 的 应 用 就 不 可 用 了 ,但 是 那些 关键 应 用 会 转移 到 另 一 个 可 用 的 
节点 上 ， 从 而 达到 性 能 和 容 灾 两 方面 的 平衡 。 


日 .了 双 机 热 备 开源 软件 Pacemaker 


随 着 应 用 的 用 户 量 增长 , 或 在 一 些 系统 关键 应 用 中 , 为 提供 不 间断 的 服务 保证 系统 的 高 可 
用 是 非常 必要 的 。Pacemaker 就 是 一 个 用 于 保证 服务 高 可 用 性 的 组 件 ， 在 行业 内 得 到 了 广泛 应 
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用 。 本 节 将 简要 介绍 Pacemaker 的 安装 与 使 用 。 


9.2.1 Pacemaker 概述 

Pacemaker 是 一 个 集群 资源 管理 器 , 他 可 以 利用 管理 员 喜 欢 的 集群 基础 构件 提供 的 消息 和 
成 员 管理 能 力 来 探测 节点 或 资源 故障 ， 并 从 故障 中 恢复 ， 从 而 实现 集群 资源 的 高 可 用 性 。 与 之 
前 广泛 使 用 的 Heartbeat 相 比 ，Pacemaker 配置 更 为 简单 ， 并 且 支 持 的 集群 模式 多 样 、 资 源 管 
理 的 方式 更 加 灵活 。 

Pacemaker 是 一 个 相当 庞大 的 软件 ， 其 内 部 结构 如 图 9.1 所 示 。 


Irmd pengine 


stonithd 1 crmd cib 


openais 


heartbeat 


9.1 Pacemaker 内 部 结构 
Pacemaker 的 主要 组 件 及 作用 如 下 : 


@ stonithd: 心跳 程序 ， 主 要 用 于 处 理 与 心跳 相关 的 事件 。 
lrmd: 本 地 资源 管理 程序 ， 直 接 调配 系统 资源 。 
pengine: 政策 引擎 ， 依 据 当前 集群 状态 计算 下 一 步 应 该 执行 的 操作 等 。 
CIB: 集群 信息 库 ， 主 要 包含 了 当前 集群 中 所 有 的 资源 ， 及 资源 之 间 的 关系 等 。 
CRMD: 集群 资源 管理 守护 进程 。 

Pacemaker 工作 时 会 根据 CIB 中 记录 的 资源 ， 由 pengine 计算 出 集群 的 最 佳 状态 ， 及 如 何 
达到 这 个 最 佳 状态 ， 最 后 建立 一 个 CRMD 实例 ， 由 CRMD 实例 来 做 出 所 有 集群 决策 。 这 是 
Pacemaker 简要 工作 过 程 ， 读 者 如 需 详细 了 解 其 工作 过 程 ， 可 参考 相关 文档 了 解 。 


9.2.2 ”Pacemaker 安装 与 配置 

为 保证 系统 更 高 的 可 用 性 , 常常 需要 对 重要 的 关键 业务 做 双 机 热 备 , 比如 一 个 简单 的 Web 
服务 需要 做 双 机 热 备 。 常 见 的 方案 有 keepalived、Pacemaker 等 ， 本 节 以 Pacemaker 为 例 说 明 
双 机 热 备 的 部 署 过 程 。 

在 本 示例 中 ，Pacemaker 双 机 热 备 信息 如 表 9.1 所 示 。 
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表 9.1 Heartbeat 双 机 热 备 信息 说 明 


参数 
192.168.3.88 
示例 实现 的 功能 为 : 正常 情况 下 由 192.168.3.87 提供 服务 ， 客 户 端 可 以 根据 主 节点 提供 的 
VIP 访问 集群 内 的 各 种 资源 ， 当 主 节点 故障 时 备 节点 可 以 自动 接管 主 节点 的 IP 资源 ， 即 VIP 
为 192.168.3.118。 
HA 的 部 署 要 经 过 软件 安装 、 环 境 配 置 、 资 源 配置 等 几 个 步骤 ， 本 小 节 将 简单 介绍 软件 安 
装 和 环境 配置 。 
(1) 最 新 的 CentOS 7 已 全 面 支持 Pacemaker， 可 以 通过 yum 进行 安装 ， 安 装 过 程 如 【 示 
例 9-1】 所 示 。 


【示例 9-1】 


经 过 以 上 步骤 完成 Pacemaker 软件 的 安装 ， 主 要 的 软件 包 及 作用 如 表 9.2 所 示 。 


表 9.2 Pacemaker 软件 包 说 明 
参数 说 明 


fence 设备 代理 


pacemaker 集群 资源 管理 器 


corosync 集群 引擎 和 应 用 程序 接口 | 
pcs Pacemaker 配置 工具 | 
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(2) 两 个 节点 配置 主机 名 和 /etc/hosts 
配置 集群 时 ， 通 常 都 会 使 用 主机 名 来 标识 集群 中 的 节点 ， 因 此 需要 修改 hostname。 如 果 
使 用 DNS 解析 集群 中 的 节点 ， 解 析 延 时 会 导致 整个 集群 响应 缓慢 ， 因 此 任何 集群 都 建议 使 用 
hosts 文件 解析 而 不 是 DNS， 如 【示例 9-2】 所 示 。 


【示例 9-2】 


网 络 服务 重启 后 ， 可 以 通过 重新 登录 的 方式 查看 命令 提示 符 的 变化 。 


(3) 配置 ssh 密 匙 访问 
集群 节点 之 间 的 通信 是 通过 ssh 进行 的 ， 但 ssh 访问 需要 密码 ， 因 此 需要 配置 密 匙 访问 ， 
如 【示例 9-3】 所 示 。 


【示例 9-3】 
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接 下 来 在 node2 上 重复 上 述 操作 ， 让 nodel 和 node2 之 间 均 可 以 使 用 密 匙 访问 。 


(4) 配置 集群 用 户 
Pacemaker 使 用 的 用 户 名 为 hacluster， 软 件 安装 时 此 用 户 已 创建 ， 但 还 没有 设置 密码 ， 此 
时 需要 设置 其 密码 ， 如 【示例 9-4】 所 示 。 


【示例 9-4】 


在 nodel 上 修改 hacluster 的 密码 之 后 ， 还 要 修改 node2 上 的 hacluster 用 户 密码 ， 此 处 需 
要 注意 的 是 两 个 节点 上 的 hacluster 密码 应 该 相同 。 


(5) 配置 集群 节点 之 间 的 认证 
接 下 来 应 该 启动 pcsd 服务 , 并 配置 各 节点 之 间 的 认证 , 让 节点 之 间 可 以 互相 通信 ,如 【 示 
例 9-5】 所 示 。 


【示例 9-5】 
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配置 完 节点 间 认 证 后 环境 配置 就 完成 了 ,， 接 下 来 就 可 以 新 建 集群 并 向 集群 中 添加 资源 了 。 


9.2.3 ”Pacemaker 资源 配置 

Pacemaker 可 以 为 多 种 服务 提供 支持 ， 例 如 Apache、MySQL、Xen 等 ， 可 使 用 的 资源 类 
型 有 1IP 地 址 、 文 件 系统 、 服 务 、fence 设备 等 ， 本 小 节 将 以 最 简单 的 Apache 为 例 介绍 如 何 添 
加 集群 和 资源 。 


fence 设备 国内 通常 称 为 远程 控制 卡 ， 在 节点 失效 后 集群 可 以 通过 fence 设备 将 失效 节 
点 服务 器 重启 。 不 同 厂商 的 fence 设备 使 用 方法 也 不 同 ， 使 用 之 前 需要 阅读 相关 的 硬 
件 文档 了 解 。 


(1) 配置 Apache 
在 节点 nodel 和 node2 上 配置 Apache， 如 【示例 9-6】 所 示 。 


【示例 9-6】 
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Pacemaker 可 以 控制 httpd 服务 的 启动 和 关闭 ， 因 此 在 nodel 和 node2 上 配置 完 Apache 并 
测试 之 后 要 关闭 httpd 服务 。 


(2) 新 建 并 启动 集群 
完成 以 上 准备 工作 后 , 就 可 以 在 节点 nodel 上 新 建 一 个 集群 并 启动 ， 如 【示例 9-7】 所 示 。 


【示例 9-7】 


从 上 述 命令 可 以 看 到 在 nodel 上 新 建 集群 之 后 ， 所 有 的 设置 都 会 同步 到 node2 上 ， 而 在 集 
群 状态 中 可 以 看 到 nodel 和 node2 均 已 在 线 ， 集 群 使 用 的 服务 都 已 激活 并 启动 。 


(3) 为 集群 添加 资源 
从 第 (2) 步 集群 状态 中 的 “Fulllist of resources” 中 可 以 看 到 集群 还 没有 任何 资源 ， 接 下 
来 将 为 集群 添加 VIP 和 服务 ， 如 【示例 9-8】 所 示 。 


【示例 9-8】 
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(4) 调整 资源 
添加 资源 后 还 需要 对 资源 进行 调整 ， 让 VIP 和 Web 这 两 个 资源 “捆绑 ”在 一 起 ， 以 免 出 
现 VIP 在 节点 nodel 上 ， 而 Apache 运行 在 node2 上 的 情况 。 另 一 个 情况 则 是 有 可 能 集群 先 启 
动 Apache， 然 后 再 启用 VIP， 这 是 不 正确 的 。 调 整 如 【示例 9-9】 所 示 。 


【示例 9-9】 


(5) 优先 级 

如 果 nodel 与 node2 的 硬件 配置 不 同 , 那么 应 该 调整 节点 的 优先 级 ， 让 资源 运行 于 硬件 配 
置 较 好 的 服务 器 上 ， 待 其 失效 后 再 转移 至 较 低 配 置 的 服务 器 上 。 这 就 需要 配置 优先 级 
(Pacemaker 中 称 为 Location)， 此 配置 为 可 选 ， 如 【示例 9-10】 所 示 。 


【示例 9-10】 
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在 本 例 中 并 没有 设置 fence 设备 ， 集 群 在 启动 时 可 能 会 提示 一 些 错误 ， 可 以 使 用 命令 pcs 
property set stonith-enabled-false 禁用 fence 设备 。 读 者 也 可 以 使 用 在 Linux 上 的 虚拟 机 中 
使 用 虚拟 fence 设备 ， 关 于 虚拟 fence 设备 的 使 用 方法 可 参考 相关 文档 了 解 。 


9.2.4 Pacemaker 测试 
经 过 上 面 的 配置 ，Pacemaker 集群 已 经 配置 完成 ， 重 新 启动 集群 所 有 设置 可 以 生效 ， 启 动 
过 程 如 【示例 9-11】 所 示 。 


【示例 9-11】 
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启动 后 正常 情况 下 VIP 设置 在 主 节点 192.168.3.87 上 。 如 主 节 点 故障 ， 则 节点 node2 自动 
接管 服务 ， 方 法 是 直接 重启 节点 nodel， 然 后 观察 备 节点 是 否 接管 了 主机 的 资源 ， 测 试 过 程 如 
【示例 9-12】 所 示 。 


【示例 9-12】 
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pcsd: active/enabled 


当 节点 nodel 故障 时 ， 节 点 node2 收 不 到 心跳 请 求 ， 超 过 设置 的 时 间 后 节点 node2 启用 资 
源 接 管 程序 ， 上 述 命令 输出 中 说 明 VIP 和 Web 已 经 被 节点 node2 成 功 接 管 。 如 果 节 点 nodel 
恢复 且 设 置 了 优先 给 ，VIP 和 Web 又 会 重新 被 节点 nodel 接管 。 


各 .了 双 机 热 备 软件 keepalived 


关于 HA 目前 有 多 种 解决 方案 ， 比 如 Heartbeat、keepalived 等 ， 各 有 优 缺 点 。 本 节 主 要 以 
keepalived 为 例 说 明 keepalived 的 使 用 方法 。 


9.3.1 ”keepalived 概述 
keepalived 的 作用 是 检测 后 端 TCP 服务 的 状态 ， 如 果 有 一 台 提 供 TCP 服务 的 后 端 节点 死 
机 ， 或 工作 出 现 故 障 ，keepalived 及 时 检测 到 ， 并 将 有 故障 的 节点 从 系统 中 剔除 ， 当 提供 TCP 
服务 的 节点 恢复 并 且 正 常 提供 服务 后 keepalived 自动 将 提供 TCP 服务 的 节点 加 入 到 集群 中 ， 
这 些 工作 全 部 由 keepalived 自动 完成 , 不 需要 人 工 干涉 , 需要 人 工 做 的 只 是 修复 故障 的 服务 器 。 
keepalived 可 以 工作 在 TCP/IP 协议 栈 的 亿 层 、TCP 层 及 应 用 层 : 
(1) IP 层 
keepalived 使 用 IP 的 方式 工作 时 , 会 定期 向 服务 器 群 中 的 服务 器 发 送 一 个 ICMP 的 数据 包 ， 
如 果 发 现 某 台 服 务 的 IP 地 址 没有 激活 ，keepalived 便 报 告 这 台 服 务 器 异常 ,并 将 其 从 集群 中 吻 
除 。 常 见 的 场景 为 某 台 机 器 网 卡 损坏 或 服务 器 被 非法 关机 。IP 层 的 工作 方式 是 以 服务 器 的 IP 
地 址 是 否 有 效 作为 服务 器 工作 正常 与 否 的 标准 。 
(2) TCP 层 
这 种 工作 模式 主要 以 TCP 后 台 服 务 的 状态 来 确定 后 端 服务 器 是 否 工 作 正 常 。 如 MySQL 
服务 默认 端口 一 般 为 3306， 如 果 keepalived 检测 到 3306 无 法 登录 或 拒绝 连接 ， 则 认为 后 端 服 
务 异 常 ， 则 keepalived 将 把 这 人 台 服 务 器 从 集群 中 剔除 。 


(3) 应 用 层 
如 keepalived 工作 在 应 用 层 了 , 此 时 keepalived 将 根据 用 户 的 设 定 检 查 服务 器 程序 的 运行 
是 否 正常 ， 如 果 与 用 户 的 设 定 不 相符 ， 则 keepalived 将 把 服务 器 从 集群 中 剔除 。 
以 上 几 种 方式 可 以 通过 keepalived 的 配置 文件 实现 。 


9.3.2 ”keepalived 安装 与 配置 
本 节 实 现 的 功能 为 访问 192.168.3.118 的 Web 服务 时 ， 自 动 代 理 到 后 端的 真实 服务 器 
192.168.3.1 和 192.168.3.2，keepalived 主机 为 192.168.3.87， 备 机 为 192.168.3.88 。 
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最 新 的 版 本 可 以 在 http://www.keepalived.org 获取 , 本 示例 采用 的 版 本 为 1.2.16, 安装 过 程 
如 【示例 9-13】 所 示 。 


【示例 9-13】 


经 过 上 面 的 步骤 ，keepalived 已 经 安装 完成 ， 安 装 路 径 为 /usrlocal/keepalived， 备 节点 操作 
步骤 同 主 节点 。 接 下 来 进行 配置 文件 的 设置 ， 如 【示例 9-14】 所 示 。 


【示例 9-14】 


269 


里 与 运 维 实战 ) 


备 节 点 配置 大 部 分 配置 同 主 节 点 ， 不 同 处 如 【示例 9-15】 所 示 。 
【示例 9-15】 


/etc/keepalived/keepalived.conf 为 keepalived 的 主 配置 文件 。 以 上 配置 state 表示 主 节点 为 
192.168.3.87 备 节点 为 192.168.3.88。 虚 拟 IP 为 192.168.3.118 后 端的 真实 服务 器 有 192.168.3.1 
和 192.168.3.2， 当 通过 192.168.3.118 访问 Web 服务 时 ， 自 动 转 到 后 端的 真实 节点 ， 后 端 节点 
的 权重 相同 ， 类 似 轮 询 的 模式 。Apache 服务 的 部 署 可 参考 其 他 章节 ， 此 处 不 青 著述 。 


9.3.3 ”keepalived 启动 与 测试 
经 过 上 面 的 步骤 keepalived 已 经 部 署 完成 , 接 下 来 进行 keepalived 的 启动 与 故障 模拟 测试 。 
1. 启动 keepalived 


安装 完毕 后 keepalived 可 以 设置 为 系统 服务 启动 ， 也 可 以 直接 通过 命令 行 启动 , 命令 行 启 
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动 方式 如 【示例 9-16】 所 示 。 
【示例 9-16】 


分 别 在 主 备 节点 上 启动 keepalived， 然 后 通过 ip 命令 查看 服务 状态 ， 在 主 节点 eth0 接口 
上 绑 定 了 192.168.3.118 这 个 VIP， 而 备 节点 处 于 监听 的 状态 。Web 服务 可 以 通过 VIP 直接 访 
间 ， 如 【示例 9-17】 所 示 。 


【示例 9-17】 


2. 测试 keepalived 


故障 模拟 主要 分 为 主 节点 重启 ,服务 恢复 , 此 时 备 节点 正常 服务 ,当主 节 点 恢复 后 主 节点 
重新 接管 资源 正常 服务 。 测 试 过 程 如 【示例 9-18】 所 示 。 


【示例 9-18】 
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当主 节点 故障 时 ， 备 节点 首先 将 自己 设置 为 MASTER 节点 ， 然 后 接管 资源 并 对 外 提供 服 
务 ， 主 节点 故障 恢复 时 ， 备 节点 重新 设置 为 BACKUP 模式 ， 主 节点 继续 提供 服务 。keepalived 
提供 了 其 他 丰富 的 功能 ， 如 故障 检测 、 健 康 检查 、 故 障 后 的 预 处 理 等 ， 更 多 信息 可 以 查阅 帮助 
文档 。 


9.4 4 千 


互联 网 业务 的 发 展 要 求 服务 器 能 够 提供 不 间断 服务 , 为 避免 服务 器 宕 机 而 造成 损失 , 需要 
对 服务 器 实现 见 余 。 在 众多 实现 服务 器 匈 余 的 解决 方案 中 ， 开 源 高 可 用 软件 Pacemaker 和 
keepalived 是 目前 使 用 比较 广泛 的 高 可 用 集群 软件 。 本 章 分 别 介绍 了 Pacemaker 和 keepalived 
的 部 署 及 应 用 。 两 者 的 共同 点 是 都 可 以 实现 节点 的 故障 探测 及 故障 节点 资源 的 接管 , 在 使 用 方 
面 并 没有 实质 性 的 区 别 ， 读 者 可 根据 实际 情况 进行 选择 。 
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虚拟 化 是 最 近 几 年 来 兴起 的 一 个 比较 实用 的 技术 ,从 各 企业 的 使 用 来 看 虚拟 化 带 来 了 许多 
好 处 ， 例 如 : 细 化 资源 管理 、 低 成 本 投入 等 。CentOS 是 较 早 支持 虚拟 化 的 Linux 发 行 版 之 一 。 
早期 的 CentOS 支持 Xen 虚拟 化 , 但 随 着 Red Hat 公司 收购 KVM 虚拟 化 ，CentOS 主要 的 虚拟 
化 软件 由 Xen 过 渡 为 KVM。 本 章 将 简要 介绍 KVM 虚拟 化 及 oVirt 虚拟 化 管理 平台 的 使 用 。 

本 章 主要 涉及 的 知识 点 有 : 

@ KVM 虚拟 化 简介 

@ CentOS 中 KVM 虚拟 化 使 用 方法 

@ ooVirt 虚拟 化 管理 平台 简介 

@ ooVirt 虚拟 化 管理 平台 的 安装 和 使 用 


KVM 虚拟 化 


KVM (Kernel-based Virtual Machine) 是 一 个 基于 内 核 的 系统 虚拟 化 模块 ， 从 Linux 内 核 版 本 
2.6.20 开始 ， 各 大 Linux 发 行 版 就 已 经 将 其 集成 于 发 行 版 中 。 与 Xen 等 虚拟 化 相 比 ，KVM 是 需要 
硬件 支持 的 完全 虚拟 化 (Xen 的 早期 产品 是 基于 软件 的 半 虚 拟 化 产品 )。KVM 由 内 核 加 载 ， 并 使 
用 Linux 系统 的 调试 器 进行 管理 ， 因 此 KVM 对 资源 的 管理 效率 相对 较 高 。 在 基于 Linux 操作 系 
统 的 虚拟 化 产品 中 占有 较 大 份额 ， 本 节 将 简要 介绍 CentOS 7 中 KVM 的 安装 和 使 用 。 


10.1.1 安装 KVM 虚拟 化 

同 之 前 的 CentOS 6 一 样 ，CentOS 7 也 将 KVM 作为 虚拟 化 的 基础 部 件 之 一 ， 因 此 可 以 直 
接 通过 yum 工具 安装 。 本 小 节 简 要 介绍 如 何 使 用 yum 工具 安装 KVM 虚拟 化 。 

(1) 环境 配置 

由 于 KVM 使 用 的 是 基于 硬件 支持 的 虚拟 化 ， 因 此 CPU 必须 包含 了 相关 的 指令 集 。 可 以 
在 Linux 系统 中 查看 CPU 是 否 包含 了 相关 指令 集 ， 如 【示例 10-1】 所 示 。 


【示例 10-1】 


查看 CPU 支持 之 后 ， 还 需要 修改 SELinux 设置 ， 将 文件 /etc/sysconfig/selinux 中 的 
“SELINUX=enforcing” 修 改 为 “SELINUX=disabled” 并 重启 系统 。 


如 果 系统 中 查看 CPU 支持 没有 相应 标志 ， 可 能 需要 修改 BIOS 相关 设置 以 获得 支持 。 关 
于 修改 BIOS 设置 ， 读 者 可 自行 阅读 相关 文档 修改 。 


(2) 安装 KVM 
由 于 使 用 yum 工具 安装 ， 因 此 必须 正确 设置 IP 地 址 、DNS 等 信息 ,确保 网 络 畅 通 。 安 装 
过 程 如 【示例 10-2】 所 示 。 


【示例 10-2】 
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(3) 开启 服务 
安装 完成 后 还 需要 开启 libvirtd， 以 开启 相关 支持 : 


(4) 桥接 网 络 
在 虚拟 机 的 网 络 连接 中 , 使 用 的 最 多 的 莫 过 于 桥接 网 络 , 所 谓 桥接 网 络 是 指 将 物理 网 络 连 
接 到 虚拟 机 中 。 新 安装 的 KVM 还 没有 桥接 网 络 ， 需 要 手动 添加 。 添 加 过 程 如 【示例 10-3】 所 
示 。 


【示例 10-3】 
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桥接 网 络 设置 完 后 ，KVM 就 已 经 安装 完成 了 。 


10.1.2 KVM 虚拟 机 的 管理 方法 

安装 完 Linux 系统 后 ， 就 可 以 管理 KVM 虚拟 机 了 。 管 理 KVM 虚拟 机 通常 可 以 使 用 两 种 
方法 ， 其 一 是 使 用 Linux 系统 图 形 界面 下 的 虚拟 系统 管理 器 ， 其 二 是 使 用 命令 的 方式 ， 本 小 节 
将 分 别 介绍 这 两 种 方式 。 


1. 虚拟 系统 管理 器 


虚拟 系统 管理 器 由 软件 包 virt-manager 提供 ， 可 以 使 用 yum 工具 安装 “yum install 
virt-manager”。 安 装 完 后 可 以 通过 单 击 桌面 右上 角 的 “应 用 程序 ” 然后 依次 单 击 “ 系 统 工具 ” 
和 “虚拟 系统 管理 器 ” 弹出 虚拟 系统 管理 器 界面 ， 如 图 10.1 所 示 。 


[ 谨 抽 系 统管 理 器 Bal 
文件 (E) 编辑 (E) 查看 (V) 帮助 (H) 

七 | 画 打 开 Mv 

名 称 Yv CPU 使 用 率 


10.1 虚拟 系统 管理 器 


由 于 没有 新 建 任何 KVM 虚拟 机 ， 因 此 在 虚拟 系统 管理 器 中 没有 看 到 任何 虚拟 机 。 虚 拟 系 
统管 理 器 可 以 用 来 创建 、 删 除 虚拟 机 ， 还 可 以 管理 虚拟 机 电源 、 编 辑 硬件 等 ， 几 乎 所 有 功能 都 
可 以 在 虚拟 系统 管理 器 中 实现 。 


2. 命令 方式 


除了 图 形 界 面 工 具 虚 拟 系统 管理 器 之 外 ，KVM 还 提供 了 一 些 命令 工具 ， 使 用 这 些 命令 工 
具 也 可 以 达到 管理 虚拟 机 的 目的 ， 常 见 的 命令 形式 如 表 10.1 所 示 。 
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表 10.1 管理 虚拟 机 的 常见 命令 形式 


命令 形式 
virt-install 用 于 创建 虚拟 机 ， 具 体 选项 可 参考 其 手册 页 了 解 
virsh list --all 查看 所 有 虚拟 机 


virsh start name 启动 名 为 name 的 虚拟 机 
virsh destroy name 停止 名 为 name 的 虚拟 机 


Virsh console name 连接 到 名 为 name 的 虚拟 机 的 控制 台 
除 以 上 列举 的 命令 形式 之 外 ， 还 有 许多 其 他 形式 的 用 途 各 异 的 命令 读者 可 自行 阅读 virsh 
的 手册 页 了 解 ， 此 处 不 再 著述 。 


10.1.3 ”使 用 图 形 工具 创建 虚拟 机 

安装 完 KVM 虚拟 机 之 后 , 就 可 以 创建 虚拟 机 并 安装 操作 系统 了 。 创 建 虚拟 机 可 以 使 用 图 
形 界面 中 的 虚拟 系统 管理 工具 ， 也 可 以 使 用 virt-install 命令 ， 本 节 将 以 虚拟 系统 管理 工具 创建 
Linux 虚拟 机 为 例 介绍 如 何 创建 虚拟 机 。 

打开 虚拟 系统 管理 器 ， 确 保 主 界面 中 的 “localhost(QEMU)” 处 于 连接 状态 ， 并 在 之 上 单 
击 鼠 标 右键 ， 在 弹出 的 菜单 中 选择 “新 建 (N)”， 将 弹出 新 建 虚拟 机 向 导 ， 如 图 10.2 所 示 。 


r 


新 建 虚 拟 机 


连接 (0) : localhost (GEMU/KVM) 


选择 如 何 安装 操作 系统 
合 本 地 安装 介质 (1SO 映像 或 者 光驱 )(L) 
了 网 络 安装 (0)， 可 为 HTTP 、FTP 或 者 NFS。 
了 网 络 引 导 (PXE)(B) 
了 导入 现 有 磁盘 映像 


取消 (c) | 后 ij 前 进 (F) 


10.2 新 建 虚 拟 机 向 导 
新 建 虚拟 机 向 导 要 求 选择 安装 介质 的 位 置 ， 从 图 10.2 中 可 以 看 到 KVM 支持 本 地 安装 、 
网 络 安装 、PXE 引导 安装 (需要 操作 系统 支持 ) 及 使 用 现在 硬盘 文件 几 种 方式 。 此 处 使 用 ISO 
光盘 映像 文件 安装 ， 因 此 选择 “本 地 安装 介质 ”， 单 击 “ 前 进 ”按钮 ， 向 导 要 求 输入 ISO 光盘 
映像 文件 路 径 或 使 用 光驱 ， 如 图 10.3 所 示 。 
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新 建 庶 拟 机 ] 


定位 您 的 安装 介质 


使 用 


司 使 用 ISO 映像 : 
四 二 


加 根据 安装 介质 自动 侦 测 操作 系统 (U) 
操作 系统 类 型 (T) : - 
版 本 (V) : 


取消 (C) 后 退 (8) 前 进 (F) 


图 10.3 选择 光盘 映像 和 操作 系统 类 型 


此 时 选择 “使 用 ISO 映像 ”并 单 击 后 面 的 “浏览 ”按钮 ， 将 弹出 “定位 ISO 介质 卷 ” 界 
面 ， 如 图 10.4 所 示 。 


定位 Iso 介质 卷 


Storage Pools 着 | 四 


| 名 称 vN 大 小 。 格式 。 用 于 


本 地 浏览 (B) 取消 (S) | 选择 卷 [V 


图 10.4 “定位 ISO 介质 卷 ”界面 


单 击 左下 角 的 “本 地 浏览 ” 按钮 ， 在 弹出 的 界面 正确 选择 Linux 安装 光盘 ISO 映像 所 在 位 
置 ， 并 返回 选择 光盘 映像 和 操作 系统 类 型 界面 。 软 件 可 能 不 能 正确 识别 ISO 映像 的 操作 系统 ， 
因此 可 以 取消 选择 “根据 安装 介质 自动 侦 测 操作 系统 类 型 ”选项 , 并 在 之 后 的 操作 “系统 类 型 ” 
和 “版 本 ”中 正确 选择 。 在 本 例 中 将 安装 CentOS 6.6， 由 于 CentOS 是 RHEL 的 重 编译 版 ， 二 
者 之 间 的 区 别 很 小 ， 因 此 此 处 可 选择 “Linux” 及 “Red Hat Enterprise Linux 6.6”。 然后 单 击 前 
进 按钮 ， 进 入 内 存 和 CPU 设置 界面 ， 如 图 10.5 所 示 。 
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选择 内 存 和 CPU 设置 
内 存 (M)，RAM : |1024 一 + MiB 
主机 中 最 多 有 3771 MB 可 用 
CPU : 1 
最 多 有 4 可 用 


取消 (c) Be) | 部 进 (F) 


图 10.5 内 存 和 CPU 设置 界面 


在 内 存 和 CPU 设置 界面 需要 对 虚拟 机 的 内 存 容量 及 CPU 数量 进行 设置 ,通常 情况 下 内 存 
容量 越 大 、CPU 数量 越 多 表示 虚拟 机 性 能 越 好 。 此 处 可 以 按 需 要 进行 设置 ， 如 果 没 有 特殊 需 
求 ， 也 可 以 保持 默认 设置 。 设 置 完 成 后 ， 单 击 “ 前 进 ” 按 钮 ， 进 入 存储 设置 界面 ， 如 图 10.6 
所 示 。 


轨 为 虚拟 机 启用 存储 (E) 


刁 在 计算 机 硬盘 中 创建 磁盘 映像 (R) 
9.0 -~ + 6GiB 
29.9 GiB available in the default Location 
口 立即 分 配 整 个 说 盘 (A) 入 
门 选择 管理 的 或 者 其 它 现 有 存储 (M) 


浏览 (WwW).. . 


取消 (c) ”后 退 (8B) 前 进 (F) 


10.6 设置 存储 界面 
在 存储 设置 界面 需要 为 虚拟 机 设置 合适 的 磁盘 空间 , 此 处 按 需 要 进行 设置 即 可 。 需要 注意 
的 是 如 果 需 要 使 用 迁移 功能 , 此 时 需要 将 硬盘 映像 的 存储 位 置 选择 到 远程 存储 上 , 而 不 是 本 地 


磁盘 中 。 选 择 合适 的 磁盘 容量 后 ， 单 击 “ 前 进 ” 按 钮 ， 接 下 来 向 导 要 求 用 户 确认 配置 ， 如 图 
10.7 所 示 。 
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新 建 庶 所 机 
[| 生成 新 虚拟 机 


Ready to begin the installation 


名 称 (N) |rhel6.6 


sd Ha Enterprise Linux 6.6 
地 光驱 / 决 像 
内 存 : 1024 MiB 
CPU: 1 
存储 : 10.0 GiB /amipnbvit/mages/rhel6 6.qcow2 
在 实 装 前 自 定义 配置 (U) 
高 织 选 项 
桥接 br0 (主机 设备 enp5sD) Y 
六 设置 国定 MAC 地 址 


取消 (C) 后 退 (B) 充 成 (F) 
图 10.7 确认 设置 
在 确认 设置 界面 ， 向 导 会 将 之 前 的 设置 罗列 出 来 ， 并 自动 为 虚拟 机 命名 〈 由 于 之 前 的 虚拟 
机 类 型 中 选择 为 RHEL6.6, 此 处 向 导 自 动 命名 为 RHEL6.6, 可 更 改 为 CentOS6.6, 可 保持 默认 )、 
添加 网 卡 。 在 高 级 选项 中 可 以 定义 虚拟 机 网 络 ， 此 处 选择 之 前 设置 的 桥接 网 络 br0， 向 导 还 会 
自动 为 虚拟 机 设置 一 个 MAC 地 址 ，MAC 地 址 是 网 卡 工作 的 必要 条 件 ， 此 项 设置 一 般 无 须 修 
改 。 确 认 所 有 设置 都 正确 后 ， 单 击 “ 完 成 ”按钮 即 可 完成 虚拟 机 的 创建 工作 。 
在 向 导 完 成 虚拟 机 创建 之 后 , 虚拟 系统 管理 器 会 立即 打开 虚拟 机 电源 , 并 显示 虚拟 机 的 控 
制 台 ， 如 图 10.8 所 示 。 


rhel5.6 虚拟 机 
文件 (F) 虚拟 机 [M) 查看 (V) 发 送 按 肆 (K) 


豆 . av 马 


CentOS6 


Communtu eNTerprise oper 


图 10.8 虚拟 机 控制 台 
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由 于 新 的 虚拟 机 还 没有 安装 操作 系统 ， 因 此 虚拟 机 使 用 了 之 前 指定 的 ISO 光盘 映像 引导 ， 
此 时 只 需要 将 操作 系统 正确 安装 就 可 以 使 用 虚拟 机 了 。 


10.1.4 使 用 virt-install 创建 虚拟 机 

使 用 图 形 界面 创建 虚拟 机 只 适合 能 接触 到 系统 桌面 的 情况 ,无 论 是 直接 在 物理 机 上 操作 还 
是 通过 VNC 远程 操作 均 可 。 但 有 许多 计算 机 可 能 并 没有 安装 桌面 ， 用 户 可 能 更 希望 通过 远程 
的 方式 访问 虚拟 机 ， 就 像 VMware 的 ESX 那样 通过 客户 端 远程 操作 虚拟 机 。 这 时 可 行 的 方法 
通常 有 两 种 ， 其 一 是 使 用 VNC， 其 二 是 使 用 SPICE 协议 。 本 小 节 将 以 不 使 用 图 形 界面 为 例 介 
绍 如 何 通过 上 述 方法 创建 和 访问 虚拟 机 。 

1. VNC 远程 访问 

由 于 virt-install 的 选项 和 参数 众多 ， 因 此 在 使 用 virt-install 创建 虚拟 机 之 前 建议 先 阅读 其 
手册 页 详细 了 解 其 参数 和 选项 的 使 用 方法 。 此 处 仍 以 CentOS 6.6 作 示例 ， 其 创建 命令 如 【 示 
例 10-4】 所 示 。 


【示例 10-4】 


【示例 10-4】 创建 虚拟 机 时 使 用 的 选项 及 参数 如 下 : 


@ ”常规 设置 : 选项 n 和 T 分 别 指定 了 虚拟 机 的 名 称 和 内 存 容量 。 

@ ”磁盘 设置 : 选项 disk 用 于 设置 磁盘 参数 。 参 数 /var/lib/libvirt/images/rhel6.6-2.img 表示 
磁盘 文件 名 及 存放 路 径 ，size 参数 则 设置 磁盘 容量 。 

@ ”网络 选 项 : 选项 network 用 于 设置 虚拟 机 的 网 络 。 参 数 bridge=br0 表示 使 用 桥接 网 络 
br0。 

@ ”操作 系统 类 型 : 选项 os-type 用 于 设置 操作 系统 类 型 ，os-variant 表示 操作 系统 的 版 本 。 
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@ ”光驱 设置 : 选项 cdrom 在 此 示例 中 用 于 设 定 ISO 光盘 映像 的 路 径 

@ 图 形 选 项 : 选项 graphics 用 于 设置 图 形 、 监 视 器 等 。 参 数 
vnc,port=5910,listen='"0.0.0.0',password='redhat' 表 示 使 用 VNC 作为 监视 器 端口 为 5910 
(对 应 的 桌面 号 为 10) ， 访 问 密码 为 redhat，listen="0.0.0.0' 表 示 在 物理 机 的 所 有 接口 
上 监听 。 


必 寺 | 以 上 均 为 较 简单 的 设置 , 使 用 其 他 的 参数 还 可 以 做 更 为 复杂 的 设置 , 例如 设置 硬件 的 厂商 
[ 和 类 型 等 ， 读 者 可 自行 参考 相关 文档 ， 此 处 不 再 资 述 。 


从 【示例 10-4】 的 两 条 命令 输出 中 可 以 看 到 ， 虚 拟 机 已 经 建立 并 在 5910 端口 监听 。 此 时 
可 以 在 远程 的 Windows 计算 机 上 打开 VNC Viewer 访问 ， 如 图 10.9 所 示 。 


RE 服务 器 :172.16.45 35:10 


Ene -ie ] 古 


图 10.9 VNC Viewer 
在 VNC Viewer 中 输入 服务 器 的 IP 地 址 和 桌面 号 (注意 不 是 端口 号 ), 单 击 “ 确 定 ” 按 钮 ， 
并 输入 建立 虚拟 机 时 设置 的 密码 就 可 以 访问 到 建立 的 虚拟 机 了 ， 如 图 10.10 所 示 。 


VE QEMU (centos6.6-2) 


[GE 


Welcome to Cent0S 6.6+ 


sting system 
video driver 


Press [Tab] to edit options 


cond 


Community ENTerprise Operating System 


图 10.10 使 用 VNC Viewer 访问 虚拟 机 


使 用 VNC Viewer 访问 虚拟 机 时 ，VNC Viewer 也 支持 向 虚拟 机 发 送 按键 指令 。 发 送 按键 
指令 时 在 窗口 上 方 的 标题 栏 中 单 击 右键 ， 即 可 弹出 指令 菜单 ， 如 图 10.11 所 示 。 
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10.11 指令 菜单 
从 图 10.11 中 可 以 看 到 ， 指 令 菜 单 中 有 一 些 VNC Viewer 无 法 捕获 的 快捷 键 〈 使 用 这 些 快 
捷 键 会 被 Windows 或 其 他 软件 捕获 )， 鼠 标 单 击 相应 的 菜单 项 就 可 以 向 虚拟 机 发 送 快捷 键 。 
2. SPICE 远程 访问 


与 VNC 远程 访问 相 比 ，SPICE 访问 更 加 优秀 ， 除 了 完全 实现 VNC 的 功能 ，SPICE 还 可 
以 支持 视频 播放 GPU 加 速 、 音 频传 输 、 连 接 加 密 、 多 桌面 及 USB 设备 远程 传输 等 。 但 SPICE 
的 缺点 也 比较 明显 ，SPICE 的 配置 相对 比较 复杂 。 


(1) 安装 软件 
在 使 用 SPICE 之 前 必须 确保 系统 中 已 经 安装 有 spice-server 等 软件 包 ， 如 果 没 有 安装 可 参 
考 【 示 例 10-5】 所 示 安 装 。 


【示例 10-5】 


示例 所 示 的 软件 包 中 spice-gtk3 是 一 个 SPICE 客户 端 ，spice-server 和 spice-protocol 用 于 
实现 SPICE 服务 器 。 


(2) 生成 证 书 
由 于 SPICE 协议 是 可 以 加 密 的 ， 因 此 必须 要 为 其 生成 证 书 才能 使 用 ， 生 成 证 书 如 【示例 
10-6】 所 示 。 
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【示例 10-6】 
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本 小 节 中 的 证 书生 成 及 使 用 过 程 仅 为 参考 ,并 不 具备 在 生产 环境 中 使 用 的 条 件 。 由 于 本 书 
并 不 讨论 安全 问题 ， 因 此 关于 证 书 的 安全 性 、 证 书 的 使 用 等 问题 并 不 涉及 ， 读 者 可 自行 参 
考 相关 资料 了 解 。 


(3) 修改 配置 文件 
接 下 来 需要 修改 配置 文件 qemu.conf， 启 用 SPICE 的 加 密 功 能 ， 修 改过 程 如 【示例 10-7】 
所 示 。 


【示例 10-7】 
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(4) 创建 虚拟 机 
使 用 SPICE 协议 时 , 创建 虚拟 机 过 程 与 VNC 几乎 相同 , 不 同 的 是 此 处 需要 指定 控制 台 为 
SPICE， 如 【示例 10-8】 所 示 。 


【示例 10-8】 


由 于 在 本 例 中 使 用 的 是 自 建 证 书 ， 因 此 在 创建 虚拟 机 的 命令 选项 中 ， 并 没有 使 用 加 密 的 
| SPICE。 创 建 完 虚 拟 机 之 后 ， 就 可 以 使 用 SPICE 客户 端 访问 虚拟 机 了 。 


(5) SPICE 客户 端 访问 
SPICE 为 Windows 用 户 开发 了 相应 的 客户 端 程序 ， 读 者 可 以 从 其 官方 网 上 下 载 。 
客户 端 下 载 地 址 : http://www.spice-space.org/download.html 
官方 网 站 提供 两 种 访问 方法 , 其 是 SPICE 的 客户 端 , 另 一 个 是 Windows 版 的 Virt Viewer， 
安装 过 程 都 比较 简单 ， 根 据 官方 网 站 上 的 说 明 下 载 安装 即 可 。 
使 用 SPICE 客户 端 访 问 时 ， 直 接 输 入 IP 地 址 、 端 口 及 密码 就 可 以 直接 访问 ， 如 图 10.12 
所 示 。 
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图 10.12 SPICE 客户 端 访 问 虚拟 机 
使 用 Virt Viewer 访问 时 ， 会 要 求 输入 链接 地 址 ， 链 接地 址 形 如 : spice://ipaddress:port， 例 
如 本 例 中 应 输入 spice://172.16.45.35:5931。 输 入 链接 地 址 后 就 可 以 连接 到 远程 虚拟 机 ， 如 图 
10.13 所 示 。 


各 祝 


Cemtos release 6.6 (Final 


图 10.13 ”Virt Viewer 远程 连接 
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无 论 使 用 SPICE 客户 端 还 是 Virt Viewer 连接 ， 都 可 以 传输 虚拟 机 的 音频 、 使 用 本 地 USB 
设备 等 ， 与 VMware 公司 的 ESX 客户 端 相同 。 


民 寺 读者 可 以 阅读 相关 文档 了 解 SPICE 客户 端 及 Virt Viewer 的 更 多 使 用 方法 ,此 处 不 再 孝 述 。 | 


1 0 .2 ovirt 虚拟 化 管理 平台 


oVirt 是 Red Hat 公司 下 的 RHEV (Red Hat Enterprise virtualization， 红 帽 企业 虚拟 化 〉 的 
开源 版 本 ， 主 要 用 来 管理 和 部 署 虚 拟 化 主机 。oVirt 由 两 部 分 组 成 ， 客 户 端 称 为 oVirt Node， 

与 VMware 公司 的 ESXi 类 似 ， 主 要 用 来 实现 主机 的 虚拟 化 ， 另 一 部 分 称 为 oVirt-engine， 类 
似 于 VMware vCenter， 主 要 用 来 管理 虚拟 化 主机 。 本 节 将 介绍 如 何在 CentOS 7 中 安装 和 使 用 


ovirt 虚拟 化 管理 平台 。 
10.2.1 oVirt-engine 虚拟 化 管理 平台 概述 


时 至 今日 ，KVM 虚拟 化 可 以 说 已 经 深入 人 心 ， 包 括 IBM、Ubuntu、Red Hat 在 内 的 许多 
Linux 发 行 版 都 将 其 作为 默认 的 kypervisor。 而 oVirt 虚拟 化 管理 平台 正 是 Red Hat 公司 下 的 
RHEV 的 开源 版 本 , 可 以 说 是 为 小 型 企业 应 用 环境 量 身 定制 。oVirt 提供 了 一 个 Web 管理 工具 ， 
利用 Web 管理 工具 可 以 实现 许多 功能 : 


®@ 与 Vv 


Center 类 似 ，oVirt 也 可 以 完成 虚拟 机 的 基本 管理 ， 包 括 创建 虚拟 机 、 快 照 功 能 、 


虚拟 机 模板 克隆 等 。 
@ 高 可 用 的 在 线 或 离线 迁移 虚拟 机 (需要 存储 支持 ) 。 
@ 查看、 统计 虚拟 机 、 宿 主机 的 性 能 。 
@ 多 样 化 的 网 络 连接 。 
oVirt 虚拟 化 管理 平台 的 功能 还 有 许多 ， 此 处 不 再 一 一 列举 ， 读 者 可 自行 参考 相关 资料 了 
解 。 尽 管 oVirt 还 有 许多 缺点 ， 例 如 不 能 精细 地 调节 系统 资源 等 ， 但 由 于 其 成 本 低 ， 使 用 方便 
深 受 小 型 企业 用 户 喜爱 。 


10.2.2 ”oVirt 管理 平台 的 安装 
oVirt 管理 平台 的 安装 过 程 十 分 简便 ， 其 官方 网 站 上 对 其 有 十 分 详尽 的 说 明 。 
oVirt 官方 网 站 : http://www.ovirt.org/Home 
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平台 目前 的 最 新 版 本 为 3.5, 本 小 节 将 以 3.5 为 例 介 绍 其 在 CentOS 7 上 的 安装 过 程 。 


在 开始 安装 之 前 还 需要 安装 一 些 额外 的 部 件 ， 主 要 包括 DNS 域名 服务 器 、iSCSI 存储 和 
NFS 存储 。DNS 域名 服务 器 的 安装 过 程 可 参考 第 3 章 中 的 相关 章节 ， 目 标 是 能 解析 
oVirt-engine、Node 及 NFS 存储 等 。iSCSI、NEFS 存储 可 用 来 虚拟 相关 数据 ，NFS 存储 还 需要 
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用 来 存储 ISO 光盘 映像 。 本 节 将 采用 一 个 最 简单 的 结构 简单 介绍 oVirt 平台 的 使 用 ， 其 主要 的 
主机 、IP 地 址 等 信息 如 表 10.2 所 示 。 


表 10.2 oVirt 平 台 示例 主机 信息 
域名 IP 地 址 说 明 


在 本 示例 中 ，NFS 存储 、DNS 域名 服务 器 、oVirt 管理 平台 为 同一 台 主 机 ， 但 为 了 减少 延 
迟 , 在 实际 使 用 过 程 中 NFS 存储 直接 使 用 IP 地 址 而 不 是 域名 。 与 VMware 的 ESXi 相同 ，oVirt 
也 支持 包括 Vlan 内 的 多 种 网 络 ， 但 在 本 示例 中 并 不 会 涉及 。 


(1) 安装 软件 仓库 
于 oVirt 在 RHEL 及 CentOS 中 推荐 使 用 yum 的 方式 安装 ， 因 此 第 一 步 首先 要 安装 yum 


仓库 包 : 


以 上 命令 将 从 官方 网 站 上 直接 下 载 包 含有 仓库 配置 文件 、Key 等 文件 的 安装 包 ， 并 进行 安 
装 ， 安 装 完成 后 可 以 从 目录 /etc/yum.repos.d 中 查看 到 软件 仓库 配置 文件 。 
(2) 安装 oVirt-engine 
在 管理 机 上 安装 oVirt-engine 之 前 , 确保 已 经 设置 好 IP 地 址 、 系统 软件 已 全 部 为 最 新 版 本 
等 信息 , 网 络 接口 上 最 好 使 用 静态 IP 地 址 。 接 下 来 就 可 以 安装 oVirt-engine 了 , 安装 过 程 如 【 示 
例 10-9】 所 示 。 


【示例 10-9】 


由 于 【示例 10-9】 所 示 命 令 需 要 从 oVirt 官方 网 站 上 下 载 近 900MB 的 数据 ， 因 此 整个 安 
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装 过 程 可 能 要 持续 约 1 小 时 ， 需 耐心 等 待 。 
(3) 初始 化 oVirt-engine 
安装 完成 后 , 还 需要 对 oVirt-engine 进行 初始 化 ,这 个 过 程 主 要 是 用 来 配置 密码 、 防 火 墙 、 
数据 库 、ISO 域 等 信息 。 如 【示例 10-10】 所 示 。 


【示例 10-10】 


第 10 章 KVM 虚拟 化 和 oVirt 虚拟 化 管理 平 


CentOS 7 系统 管理 与 运 维 实 成 】 


ER 


安装 过 程 中 的 许多 设置 保持 默认 即 可 。 需 要 注意 的 是 ， 以 上 初始 化 过 程 根据 不 同 的 计算 机 
情况 ， 可 能 会 稍 有 不 同 。 


安装 完成 后 即 可 在 浏览 器 中 输入 地 址 http://ipaddress/ 访 问 管理 平台 ， 如 图 10.14 所 示 。 
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12.2.3 ”计算 模块 Nova 

Nova 是 OpenStack 系统 的 核心 模块 ， 其 主要 功能 是 负责 虚拟 机 实例 的 生命 周期 管理 、 网 
络 管理 、 存 储 卷 管理 、 用 户 管理 以 及 其 他 的 相关 云 平 台 管 理 功能 。 从 能 力 上 讲 ，Nova 类 似 于 
Amazon EC2。Nova 逻辑 结构 中 的 大 部 分 组 件 可 以 划分 为 以 下 两 种 自 定义 的 Python 守护 进程 : 


(1) 接收 与 处 理 API 调用 请 求 的 Web 服务 器 网 关 接口 (Python Web Server Gateway 
Interface，WSGI)， 例 如 Nova-API 和 Glance-API 等 。 

(2) 执行 部 署 任务 的 Worker 守护 进程 ， 例 如 Nova-Compute、Nova-Network 以 及 
Nova-Schedule 等 。 


消息 队列 (Queue) 与 数据 库 (Database) 作为 Nova 的 架构 中 的 两 个 重要 的 组 成 部 分 ， 虽 
然 不 属于 WSGI 或 者 Worker 进程 ， 但 是 两 者 通过 系统 内 消息 传递 和 信息 共享 的 方式 实现 任务 
之 间 、 模 块 之 间 以 及 接口 之 间 的 异步 部 署 ， 在 系统 层面 大 大 简化 了 复杂 任务 的 调度 流程 与 模 
式 ， 是 Nova 的 核心 模块 。 

由 于 Nova 采用 无 共享 和 基于 消息 的 灵活 架构 ， 所 以 Nova 的 7 个 组 件 有 多 种 部 署 方 式 。 
用 户 可 以 将 每 个 组 件 单独 部 署 到 一 台 服 务 器 上 , 也 可 以 根据 实际 情况 , 将 多 个 组 件 部 署 到 一 台 
服务 器 上 。 

下 面 给 出 了 几 种 常见 的 部 署 方式 。 


1. 单 节 点 


在 这 种 方式 下 ， 所 有 的 Nova 服务 都 集中 在 一 台 服 务 器 上 ， 同 时 也 包含 虚拟 机 实例 。 由 于 
这 种 方式 的 性 能 不 高 ， 所 以 不 适合 生产 环境 , 但 是 部 署 起 来 相对 比较 简单 ， 所 以 非常 适合 初学 
者 练习 或 者 相关 开发 。 

2. 双 节 点 


这 种 部 署 方式 由 两 台 服 务 器 构成 ,其 中 一 台 作 为 控制 节点 , 另外 一 台 作为 计算 节点 。 控 制 
节点 运行 除 Nova-Compute 服务 之 外 的 所 有 的 其 他 服务 ， 计 算 节点 运行 Nova-Compute 服务 。 
双 节 点 部 署 方式 适合 规模 较 小 的 生产 环境 或 者 开发 环境 。 


3. 多 节点 


这 种 部 署 方式 由 用 户 根据 业务 性 能 需求 , 实现 多 个 功能 模块 的 灵活 安装 , 包括 控制 节点 的 
层次 化 部 署 和 计算 节点 规模 的 扩大 。 多 节点 部 署 方式 适合 各 种 对 于 性 能 要 求 较 高 的 生产 环境 。 


12.2.4 ”分 布 式 对 象 存储 模块 Swift 

Swift 是 OpenStack 系统 中 的 对 象 存 储 模块 , 其 目标 是 使 用 标准 化 的 服务 器 来 创建 元 余 的 、 
可 扩展 且 存 储 空间 达到 PB 级 的 对 象 存储 系统 。 简单 地 讲 ，Swift 非常 类 似 于 AWS 的 S3 服务 。 
它 并 不 是 传统 意义 上 的 文件 系统 或 者 实时 数据 存储 系统 ， 而 是 长 期 静态 数据 存储 系统 。 
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Swift 主要 由 以 下 3 种 服务 组 成 : 


(1) 代理 服务 : 提供 数据 定位 功能 ， 充 当 对 象 存储 系统 中 的 元 数据 服务 器 的 角色 ， 维 护 
账户 、 容 器 以 及 对 象 在 环 (Ring) 中 的 位 置信 息 ， 并 且 向 外 提供 API， 处 理 用 户 访问 请 求 。 

(2) 对 象 存储 : 作为 对 象 存储 设备 ， 实 现 用 户 对 象 数据 的 存储 功能 。 

(3) 身份 认证 : 提供 用 户 身份 鉴定 认证 功能 。 

OpenStack 中 的 对 象 由 存储 实体 和 元 数据 组 成 ， 相 当 于 文件 的 概念 。 当 向 Swift 对 象 存储 
系统 上 传 文件 的 时 候 ， 文 件 并 不 经 过 压缩 或 者 加 密 ， 而 是 和 文件 存放 的 容器 名 、 对 象 名 以 及 文 
件 的 元 数据 组 成 对 象 ， 存 储 在 服务 器 上 。 


12.2.5 ”虚拟 机 镜像 管理 模块 Glance 

Glance 项 目 主要 提供 虚拟 机 镜像 服务 ， 其 功能 包括 虚拟 机 镜像 、 存 储 和 获取 关于 虚拟 机 
镜像 的 元 数据 、 将 虚拟 机 镜像 从 一 种 格式 转换 为 另外 一 种 格式 。 

Glance 主要 包括 两 个 组 成 部 分 , 分 别 是 Glance API 和 Glance Registry。Glance API 主要 提 
供 接口 ， 处 理 来 自 Nova 的 各 种 请 求 。Glance Registry 用 来 和 MySQL 数据 库 进行 交互 ， 存 储 
或 者 获取 镜像 的 元 数据 。 这 个 模块 本 身 不 存储 大 量 的 数据 ， 需 要 挂 载 后 台 存 储 Swift 来 存放 实 
际 的 镜像 数据 。 


12.2.6 ”身份 认证 模块 Keystone 

Keystone 是 OpenStack 中 负责 身份 验证 和 授权 的 功能 模块 。Keystone 类 似 一 个 服务 总 线 ， 
或 者 说 是 整个 OpenStack 框架 的 注册 表 ， 其 他 服务 通过 keystone 来 注册 其 服务 的 端点 

(Endpoint)， 任 何 服务 之 间 相 互 的 调用 ， 都 需要 经 过 Keystone 的 身份 验证 ， 来 获得 目标 服务 

的 端点 来 找到 目标 服务 。 

Keystone 包含 以 下 基本 概念 : 

1. 用 户 ( User ) 

用 户 代表 可 以 通过 Keystone 进行 访问 的 人 或 程序 。 用 户 通 过 认证 信息 如 密码 、API Keys 
等 进行 验证 。 

2. 租户 ( Tenant ) 


租户 是 各 个 服务 中 的 一 些 可 以 访问 的 资源 集合 。 例如， 在 Nova 中 一 个 租户 可 以 是 一 些 机 
器 ,在 Swift 和 Glance 中 一 个 租户 可 以 是 一 些 镜像 存储 ， 在 Quantum 中 一 个 租户 可 以 是 一 些 
网 络 资源 。 默 认 情况 下 ， 用 户 总 是 绑 定 到 某 些 租户 上 面 。 


3. 角色 ( Role ) 
角色 代表 一 组 用 户 可 以 访问 的 资源 权限 ， 例 如 Nova 中 的 虚拟 机 、Glance 中 的 镜像 。 用 户 
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12. --0s-ceilometer-install 


该 组 件 的 值 为 y 或 者 n， 用 来 指定 是 否 安装 Ceilometer 组 件 。 
除了 以 上 选项 之 外 ， 对 于 每 个 具体 的 组 件 ，packstack 也 提供 了 许多 选项 ， 不 再 详细 介绍 。 
如 果 用 户 想 在 一 个 节点 上 面 快速 部 署 OpenStack， 可 以 使 用 --allinone 选项 ， 命 令 如 下 : 


如 果 想 要 单独 指定 其 中 的 某 个 选项 ， 例 如 下 面 的 命令 将 采用 单 节点 部 署 ， 并 且 虚 拟 网 络 
采用 Neutron: 


由 于 packstack 的 选项 非常 多 ， 为 了 便于 使 用 ，packstack 命令 还 支持 将 选项 及 其 值 写 入 一 
个 应 答 文件 (Answer file) 中 。 用户 可 以 通过 --gen-answer-file 选项 来 创建 应 答 文 件 如 下 所 示 : 


应 答 文件 为 一 个 普通 的 纯 文 本 文件 ， 包 含 了 packstack 部 署 OpenStack 所 需 的 各 种 选项 ， 
如 下 所 示 : 


用 户 可 以 根据 自己 的 需要 来 修改 生成 的 应 答 文件 ， 以 确定 某 个 组 件 是 否 需 要 安装 ， 以 及 
相应 的 安装 选项 。 修 改 完成 之 后 ， 使 用 以 下 命令 进行 安装 部 署 : 


如 果 没 有 设置 SSH 密 钥 ， 在 部 署 之 前 ，packstack 会 询问 参与 部 署 的 各 主机 的 root 用 户 的 
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密码 ， 用 户 输入 相应 的 密码 即 可 。 下 面 的 代码 是 部 分 安装 过 程 : 


乌 基 册 ” 毕 个 安装 过 程 需 要 花费 较 长 的 时 间 ,与 用 户 选 择 的 组 件 、 网 络 和 主机 的 硬件 配置 情况 密切 | 
相关 ， 一 般 为 20~50 分 钟 。 如 果 在 安装 的 过 程 中 ， 由 于 网 络 原因 导致 安装 失败 ,可 以 再 次 


执行 以 上 命令 重新 安装 部 团 。_ 


当 出 现 以 下 信息 时 ， 表 示 安 装 完成 : 
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在 上 面 的 信息 中 ， 除 了 告诉 用 户 已 经 安装 部 署 完成 之 外 ,还 有 其 他 的 一 些 附加 信息 ， 这 些 
信息 包括 提醒 用 户 当前 主机 上 面 没有 安装 NTP 服务 ,因此 ,时 间 同 步 的 相关 配置 被 跳 过 去 了 ; 
脚本 文件 /root/keystonerc_admin 已 经 被 创建 了 ， 如 果 用 户 需 要 使 用 命令 行 工 具 来 配置 
OpenStack ， 则 应 该 首先 使 用 source 命令 读 取 并 且 执行 其 中 的 命令 ; 用 户 可 以 通过 
http://58.64.138.219/dashboard 来 访问 Dashboard， 即 控制 台 ， 登 录 信息 存储 在 用 户主 目录 中 的 
keystonerc_admin 文件 里 面 ， 用户 可 以 通过 http://58.64.138.219/nagios 来 访问 Nagios， 并 给 出 
了 用 户 名 和 密码 。 此 外 还 有 一 些 安装 日 志文 件 的 位 置信 息 。 

由 于 CentOS 7 使 用 yum 源 的 关系 ， 安 装 某 些 组 件 时 可 能 会 失败 ， 例 如 mariaDB， 此 时 只 
需 手 动 将 其 安装 好 并 设置 其 访问 权限 继续 安装 即 可 。 有 具体 细节 可 参考 mariaDB 相关 文档 了 解 ， 
此 处 不 再 歼 述 。 


功 每 次 使 用 --allinone 选项 来 安装 OpenStack 都 会 自动 创建 一 个 应 答 文件 。 因 此 如 果 在 安 
[ 装 过 程 中 出 现 了 问题 ,重新 执行 单 节点 安装 时 ,应 该 使 用 --answer-file 指定 自动 创建 的 


应 答 文件 。 


12.5 管理 OpenStack 


OpenStack 提供 了 许多 命令 行 的 工具 来 管理 配置 各 项 功能 ,但 是 这 需要 记忆 大 量 的 命令 和 
选项 ,对 于 初学 者 来 说 , 其 难度 非常 大 通过 Horizon 控制 台 , 则 可 以 非常 方便 地 管理 OpenStack 
的 各 项 功能 , 对 于 初学 者 来 说 , 是 一 个 便捷 的 途径 。 本 节 主 要 介绍 通过 控制 台 管理 OpenStack。 


12.5.1 登录 控制 台 
安装 成 功 之 后 ， 用 户 就 可 以 通过 浏览 器 来 访问 控制 台 ， 其 地 址 为 主机 的 IP 地 址 加 上 
dashboard， 例 如 ， 在 本 例 中 ， 主 机 的 IP 地 址 为 58.64.138.219， 所 以 其 默认 的 控制 台 网 址 为 : 


控制 台 登 录 界 面 如 图 12.5 所 示 。 
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图 12.5 控制 台 登 录 界面 


在 上 面 的 一 节 中 ， 当 OpenStack 部 署 的 最 后 ,告诉 用 户 控 制 台 的 登录 信息 位 于 用 户主 目录 
的 keystonerc_admin 文件 中 ， 所 以 可 以 使 用 以 下 命令 查看 该 文件 的 内 容 : 


在 上 面 的 代码 中 ，OS_USERNAME 就 是 控制 台 的 用 户 名 ， 而 OS_PASSWORD 则 是 控制 
台 的 登录 密码 ， 这 个 命名 由 Packstack 自动 生成 ， 所 以 比较 复杂 。 

登录 成 功 之 后 ， 会 出 现 控 制 台 主 界面 ， 如 图 12.6 所 示 。 左 侧 为 导航 栏 ， 分 为 “项 目 ” 和 
“管理 员 ” 两 大 菜单 项 。 如 果 使 用 普通 用 户 登 录 ， 则 只 出 现 “ 项 目 ” 菜 单项 。 


NY ”选择 的 一 段 时 间 来 查询 其 用 量 ; 


[= AT TEL om 
0 


用 量 


FRC 


大 日 名 入。 点 流向 覆 。。 民生 。 内存 。 点 溉 闪 巷 小 时 前 各 GB 小 时 扫 
有 下- 


TS 


图 12.6 控制 台 主 界面 
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“项 目 ” 菜 单项 中 包含 了 用 户 安装 的 各 组 件 ， 二 级 菜单 根据 用 户 选 择 的 组 件 有 所 变化 。 在 
本 例 中 ,包含 了 计算 、 网 络 和 对 和 象 存储 3 个 菜单 项 。 其 中 “计算 ”菜单 项 中 包含 了 与 计算 节点 
有 关 的 功能 ， 例 如 实例 、 云 硬盘 、 镜 像 ， 以 及 访问 和 安全 等 。“ 网 络 ” 则 包含 了 网 络 拓扑 、 虚 
拟 网 络 以 及 路 由 等 。“ 对 象 ”主要 包含 容器 的 管理 。 

“管理 员 ” 菜 单项 包含 与 系统 管理 有 关 的 操作 ， 主 要 有 “系统 面板 ”和 “认证 面板 ”两 个 菜 
单项 ,“ 系 统 面板 ”包含 了 “虚拟 机 管理 器 “主机 集合 “实例 ”以 及 “ 云 磁 盘 ” 等 菜单 项 。 其 
中 ， 用 户 可 以 通过 “系统 信息 ”菜单 项 来 查看 当前 安装 的 服务 及 其 主机 ， 如 图 12.7 所 示 。 
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图 12.7 所 安装 的 OpenStack 服务 及 其 主机 
“认证 面板 ”主要 与 用 户 认证 有 关 ， 包 含 “项 目 ” 和 “用 户 ”两 个 菜单 项 ， 其 中 项 目 实际 
上 指 的 就 是 租户 ， 而 用 户 指 的 是 系统 用 户 。 


12.5.2 ”用户 设置 
单 击 主 界面 右上 角 的 用 户 名 对 应 的 下 拉 菜 单 ， 选择“ 设置 命令， 打开“ 用户 设置 ”窗口 ， 
如 图 12.8 所 示 。 
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单 击 右 侧 的 “编辑 ”菜单 ， 可 以 修改 当前 的 用 户 。 选 择 某 个 用 户 左 侧 的 复 选 枉 ， 然 后 单 击 
“删除 用 户 ” 按 钮 ， 可 以 将 选中 的 用 户 删除 。 单 击 “ 创 建 用 户 ”按钮 ， 可 以 打开 “创建 用 户 ” 
对 话 框 ， 如 图 12.11 所 示 。 在 “用 户 名 六 “邮箱 “密码 ”以 及 “确认 密码 ”等 文本 框 中 输入 
相应 的 信息 ， 选 择 “ 主 项 目 ” 和 “角色 ”之 后 ， 单 击 “ 创 建 用 户 ”按钮 即 可 完成 用 户 的 创建 。 


el | 
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创建 用 户 


描述 : 


在 这 里 您 可 以 多 键 新 用 户 并 扫 仙 们 分 可 给 某 个 项 目 


图 12.11 创建 用 户 


12.5.4 ”管理 镜像 
用 户 可 以 管理 当前 OpenStack 中 的 镜像 文件 。 前 面 已 经 介绍 过 ，Glance 支持 很 多 格式 , 但 
是 对 于 企业 来 说 , 其 实用 不 了 那么 多 格式 。 用 户 可 以 自己 制作 镜像 文件 ， 也 可 以 从 网 络 上 面 下 
载 已 经 制作 好 的 镜像 文件 。 以 下 网 址 列 出 了 常用 的 操作 系统 的 镜像 文件 : 
http://openstack.redhat .com/Image_ resources 


下 面 以 CentOS 6.5 为 例 ， 说 明 如 何 创 建 一 个 镜像 。 


(1) 进入 “管理 员 ” 一 “系统 面板 ”， 选 择 “ 镜 像 ” 菜 单项 ， 右 侧 列 出 了 当前 系统 中 的 镜 
像 ， 如 图 12.12 所 示 。 
(2) 单 击 右上 侧 的 “创建 镜像 ”按钮 ， 打 开 “ 创 建 一 个 镜像 ”窗口 ， 如 图 12.13 所 示 。 


在 “名 称 ”文本 框 中 输入 镜像 的 名 称 ， 例 如 CentOS 6.5， 在 “描述 ”文本 框 中 输入 相应 的 
描述 信息 ， 在 “镜像 源 ” 下 拉 菜单 中 选择 “镜像 地 址 ”选项 ， 在 “镜像 地 址 ”文本 框 中 输入 
CentOS 6.5 镜像 文件 的 地 址 为 : 
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(3) 单 击 “ 创 建 镜像 ”按钮 ， 关 闭 窗 口 。 在 镜像 列表 中 列 出 了 刚才 创建 的 镜像 ， 其 状态 
为 Saving。 

(4) 由 于 需要 把 整个 镜像 文件 下 载 下 来 , 所 以 需要 较 长 的 时 间 。 到 镜像 的 状态 变 成 Active 
时 ， 表 示 镜 像 已 经 创建 成 功 ， 处 于 可 用 状态 ， 如 图 12.14 所 示 。 
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图 12.14 镜像 创建 成 功 
对 于 其 他 的 镜像 文件 ， 用 户 可 以 采用 类 似 的 步骤 来 完成 创建 操作 。 
如 果 用 户 想 要 修改 某 个 镜像 的 信息 ， 可 以 单 击 相应 行 的 右 侧 的 “编辑 ” 按钮， 打开“ 上 传 
镜像 ”对 话 框 ， 如 图 12.15 所 示 。 
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图 12.15 修改 镜像 信息 
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修改 完成 之 后 ， 单 击 右 下 角 的 “上 传 镜像 文件 ”按钮 关闭 对 话 框 。 
如 果 用 户 不 再 需要 某 个 镜像 文件 ， 可 以 单 击 右 侧 的 “更 多 ”按钮 ， 选 择 “ 删 除 镜像 ”命令 ， 
即 可 将 该 镜像 文件 删除 。 


12.5.5 ”管理 云 主机 类 型 

云 主机 类 型 (Flavors) 实际 上 对 云 主 机 的 硬件 配置 进行 了 限定 。 进 入 “管理 员 ” 菜 单 里 面 
的 “系统 面板 ” 单 击 “ 云 主机 类 型 ”菜单 项 ， 窗 口 的 右 侧 列 出 了 当前 已 经 预定 义 好 的 主机 类 
型 , 如 图 12.16 所 示 , 从 图 中 可 以 得 知 , 系统 默认 已 经 内 置 了 5 个 云 主机 类 型 , 分 别 是 ml.tiny、 
ml.small、ml.medium、ml.large 和 ml.xlarge。 从 表格 中 可 以 看 出 ， 这 5 个 内 置 的 类 型 的 硬件 
配置 是 从 低 到 高 的 ， 主 要 体现 在 CPU 的 个 数 、 内 存 以 及 根 磁盘 这 3 个 方面 。 
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图 12.16 云 主机 类 型 


这 5 个 类 型 已 经 基本 满足 用 户 的 需求 。 如 果 用 户 需要 其 他 配置 的 主机 类 型 , 则 可 以 创建 新 
的 主机 类 型 。 下 面 介绍 创建 新 的 主机 类 型 的 步骤 。 


(1) 单 击 图 12.16 中 右上 角 的 “创建 云 主机 类 型 ”按钮 ， 打 开 “ 创 建 云 主 机 类 型 ”窗口 。 
在 “名 称 ” 文 本 框 中 输入 主机 类 型 的 名 称 ， 如 ml.1g，ID 文本 框 保留 原来 的 auto， 表 示 自 动 
生成 D。 虚 拟 内 核实 际 上 指 的 是 云 主机 CPU 的 个 数 ， 在 本 例 中 输入 2。 内存 以 MB 为 单位 ， 
在 本 例 中 输入 1024， 根 磁盘 的 容量 以 GB 为 单位 ， 在 本 例 中 输入 10。 临 时 磁盘 和 交换 盘 空 间 
都 为 0， 如 图 12.17 所 示 。 

(2) 单 击 窗 口上 面 的 “ 云 主机 类 型 访问 ”切换 到 “ 云 主 机 类 型 访问 ”选项 卡 。 在 窗口 的 
左 侧 列 出 了 当前 系统 中 所 有 的 租户 , 右 侧 则 列 出 了 可 以 访问 该 主机 类 型 的 租户 。 单 击 某 个 租户 
右 侧 的 国术 饵 ， 将 该 租户 添加 到 右 侧 ， 赋 予 该 租户 使 用 该 类 型 的 权限 ， 如 图 12.18 所 示 。 
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(3) 设置 完成 之 后 ， 单 击 右 下 角 的 “创建 云 主机 类 型 ”按钮 ， 完 成 主机 类 型 的 创建 。 
除了 添加 主机 类 型 之 外 ,用 户 还 可 以 修改 主机 类 型 的 信息 、 修 改 使 用 权 以 及 删除 主机 类 型 。 
这 些 操作 都 比较 简单 ， 不 再 详细 说 明 。 
[EE 
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所 © D 58.64.138.219/dashboard/admin/flavors, Q | 三 | 


创建 云 主机 类 型 


云 主 检 上 到 信息 


人 有 机 在 这 里 则 建 宪 去 主机 类 型 未 起 工 淹 训 洒 ， 


CE 


交换 外 空间 Wa 


图 12.17 创建 主机 类 型 
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图 12.18 指定 云 主机 类 型 的 访问 权限 
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12.5.6 ”管理 网 络 

Neutron 是 OpenStack 核心 项 目 之 一 , 提供 云 计算 环境 下 的 虚拟 网 络 功能 。Neutron 的 功能 
日 益 强大 ， 并 在 Horizon 面板 中 已 经 集成 该 模块 。 为 了 能 够 使 得 读者 更 好 地 掌握 网 络 的 管理 ， 
下 面 首先 介绍 一 下 Neutron 的 几 个 基本 概念 。 


1. 网 络 


在 普通 人 的 眼 里 ， 网 络 就 是 网 线 和 供 网 线 插入 的 端口 ,一 个 盒子 会 提供 这 些 端口 。 对 于 网 
络 工程 师 来 说 , 网 络 的 盒子 指 的 是 交换 机 和 路 由 器 。 所 以 在 物理 世界 中 ,网 络 可 以 简单 地 被 认 
为 包括 网 线 、 交 换 机 和 路 由 器 。 当 然 ， 除 了 物理 设备 ， 还 有 软件 方面 的 组 成 部 分 ， 例 如 IP 地 
址 、 交 换 机 和 路 由 器 的 配置 和 管理 软件 以 及 各 种 网 络 协议 。 要 管理 好 一 个 物理 网 络 需 要 非常 多 
的 网 络 专业 知识 和 经 验 。 

Neutron 网 络 目的 是 划分 物理 网 络 ， 在 多 租户 环境 下 提供 给 每 个 租户 独立 的 网 络 环境 。 另 
外 ，Neutron 提供 API 来 实现 这 种 目标 。Neutron 中 “网 络 ” 是 一 个 可 以 被 用 户 创建 的 对 象 ， 
如 果 要 和 物理 环境 下 的 概念 映射 的 话 , 这 个 对 象 相当 于 一 个 巨大 的 交换 机 , 可 以 拥有 无 限 多 个 
动态 可 创建 和 销毁 的 虚拟 端口 。 


2. 端口 


在 物理 网 络 环境 中 ， 端 口 是 用 于 连接 设备 进入 网 络 的 地 方 。Neutron 中 的 端口 起 着 类 似 的 
功能 ， 它 是 路 由 器 和 虚拟 机 挂 接 网 络 的 着 附 点 。 


3. 路 由 器 


和 物理 环境 下 的 路 由 器 类 似 ，Neutron 中 的 路 由 器 也 是 一 个 路 由 选择 和 转发 部 件 。 只 不 过 
在 Neutron 中 ， 它 是 可 以 创建 和 销毁 的 软 部 件 。 


4. 子 网 


简单 地 说 ， 子 网 是 由 一 组 IP 地 址 组 成 的 地 址 池 。 不 同 子 网 间 的 通信 需要 路 由 器 的 支持 ， 
这 个 Neutron 和 物理 网 络 下 是 一 致 的 。Neutron 中 子 网 隶属 于 网 络 。 图 12.19 描述 了 一 个 典型 
的 Neutron 网 络 结构 。 

在 图 12.19 中 ， 存 在 一 个 和 互联 网 连接 的 Neutron 外 部 网 络 。 这 个 外 部 网 络 是 租户 虚拟 机 
访问 互联 网 或 者 互联 网 访问 虚拟 机 的 途径 。 外 部 网 络 有 一 个 子 网 A, 它 是 一 组 在 互联 网 上 可 寻 
址 的 卫 地址。 一 般 情况 下 ， 外 部 网 络 只 有 一 个 ， 且 由 管理 员 创建 和 管理 。 租 户 网 络 可 由 租户 
任意 创建 。 当 一 个 租户 的 网 络 上 的 虚拟 机 需要 和 外 部 网 络 以 及 互联 网 通信 时 , 这 个 租户 就 需要 
一 个 路 由 器 。 路 由 器 有 两 种 臂 ， 一 种 是 网 关 〈gateway) 臂 ， 另 一 种 是 网 络 接口 臂 。 网 关 臂 只 
有 一 个 ， 连 接 外 部 网 。 接 口 臂 可 以 有 多 个 ， 连 接 租户 网 络 的 子 网 。 
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由 管理 员 创建 和 管理 由 租户 创建 和 管理 
图 12.19 典型 的 Neutron 网 络 结构 
对 于 图 12.19 所 示 的 网 络 结构 ， 用 户 可 以 通过 以 下 的 步骤 来 实施 : 


(1) 首 先 管理 员 拿 到 一 组 可 以 在 互联 网 上 寻 址 的 IP 地址, 并 且 创 建 一 个 外 部 网 络 和 子 网 。 
(2) 租户 创建 一 个 网 络 和 子 网 。 

(3) 租户 创建 一 个 路 由 器 并 且 连 接 租 户 子 网 和 外 部 网 络 。 

(4) 租户 创建 虚拟 机 。 


接 下 来 介绍 如 何在 控制 台中 实现 以 上 网 络 。 管 理 员 登 录 控 制 台 ， 选 择 “ 管 理 员 ”面板 ， 单 
击 “ 网 络 ”菜单 项 后 显示 当前 网 络 列表 ， 如 图 12.20 所 示 。 
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12.20 网络 列表 


从 图 12.20 中 可 以 得 知 ，OpenStack 已 经 默认 创建 了 一 个 名 称 为 public 的 外 部 网 络 ， 并 且 
已 经 拥有 了 一 个 名 称 为 public_subnet， 网 络 地 址 为 172.24.4.224/28 的 子 网 。 

单 击 右上 角 的 “创建 网 络 ” 按钮， 可 以 打开 “创建 网 络 ” 窗 口 ， 创 建新 的 外 部 网 络 ， 如 图 
12.21 所 示 。 
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12.21 创建 网 络 


尽管 Neutron 支持 多 个 外 部 网 络 , 但 是 在 多 个 外 部 网 络 存在 的 情况 下 , 其 配置 会 非常 复杂 ， 
所 以 不 再 介绍 创建 新 的 外 部 网 络 的 步骤 , 而 是 直接 使 用 已 有 的 名 称 为 public 的 外 部 网 络 。 在 网 
络 列表 窗口 中 ， 单 击 网 络 名 称 就 可 以 查看 相应 网 络 的 详细 信息 ， 如 图 12.22 所 示 。 
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图 12.22 ”public 的 网 络 详情 


可 以 看 到 ,网 络 详情 主要 包含 3 个 部 分 , 分 别 是 网 络 概况 、 子 网 和 端口 。 网 络 概况 部 分 描 
述 了 外 部 网 络 的 重要 属性 ， 例 如 名 称 、ID、 项 目 ID 以 及 状态 等 。 子 网 部 分 列 出 了 该 网 络 划分 
的 子 网 ， 包 含 子 网 名 称 、 网 络 地 址 以 及 网 关 等 信息 。 用 户 可 以 添加 或 者 删除 子 网 。 端 口 部 分 列 
出 了 网 络 中 的 网 络 接口 ， 包 括 名 称 、 固 定 IP、 连 接 设 备 以 及 状态 等 信息 。 管 理 员 可 以 修改 端 


口 的 名 称 ， 但 是 不 能 删除 端口 。 
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图 12.25 设置 子 网 

(4) 选中 “激活 DHCP” 复 选 框 ， 在 “分 配 地 址 池 ” 文 本 框 中 输入 DHCP 地 址 池 的 范围 ， 

例如 192.168.21.2~192.168.21.128， 在 “DNS 域名 解析 服务 ”文本 框 中 输入 DNS 服务 器 的 IP 
地 址 ， 如 图 12.26 所 示 。 单 击 “ 已 创建 ”按钮 ， 完 成 网 络 的 创建 。 

i NE [El 


日 "\ 回 图 【四 © 图 图 【回国 “ 国 ee 
所 DC | 58.64.138.219/dashboard/project/networks a 园 = 


为 了 网 措 主 咒 )|6 导 性 


DNs 域 名 解 折 服务 


图 12.26 设置 DHCP 服务 


通过 上 面 的 操作 ， 租 户 已 经 创建 了 一 个 新 的 网 络 ， 但 是 这 个 网 络 还 不 能 与 外 部 网 络 连 通 。 
为 了 连通 外 部 网 络 , 租户 还 需要 创建 和 设置 路 由 器 。 下面 介 绍 如 何 通过 设置 路 由 器 将 新 创建 的 


网 络 连接 到 外 部 网 络 。 


(1) 以 demo 用 户 登 录 控 制 台 ， 选 择 “网 络 ” 一 “路 由 ”菜单 ， 窗 口 右 侧 列 出 当前 租户 
可 用 的 路 由 器 ， 如 图 12.27 所 示 。 
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= 豆 | 
sx\ 力 oO VON (BN VD ‘©@o 1 同和 ,图 【图 了 9 (Oe ye 
所 3 CC D58.64.138.219/dashboard/project/routers/ Qa 窑 呈 国 = 
加 openstack some i 
项 目 = 路 由 
Ee 路 由 + sm 
网 络 
所 态 外 部 网 洛 动作 

全 ma hear ua Es 

Ss 未 十条 目 

路 由 

对 象 在 信 


在 图 12.27 中 列 出 了 一 个 名 称 为 routerl 的 路 由 器 ， 该 路 由 器 为 安装 OpenStack 时 自动 创 


图 12.27 租户 路 由 器 列表 


建 的 路 由 器 。 从 图 中 可 以 得 知 ， 该 路 由 器 已 经 连接 到 名 称 为 public 的 外 部 网 络 。 


(2) 单 击 路 由 嚣 名称， 打开“ 路 由 详情 ”窗口 ， 如 图 12.28 所 示 。 该 窗口 主要 包括 路 由 
概览 和 接口 两 个 部 分 ， 路 由 概览 部 分 列 出 了 路 由 器 的 名 称 、ID、 状 态 和 外 部 网 关 等 信息 。 接 


口 部 分 列 出 了 该 路 由 器 所 拥有 的 连接 到 内 部 网 络 的 接口 。 


一 一 下 -人 天 一 
/Drx\ 回 " / 画 c 了 加 5 【ON ' 国 * DT 园 F “Or TY 国 c 从 (CY 
€ DC | 口 58.64.138.219/dashboard/projecyrouters/6477b946-9981-455f-b88a-68f1Q 从 | 先 国 三 
Bopenstak sen - gemo&- | 退出 
砚 目 ” 路 由 详情 
Com 1 路 由 概览 : routerl 
网络 -和 
router1 
本 477b046.9981-.4654r88z 68r11b26cag8 
二 过 
Ee 
路 由 
接口 
对 铺 存 鲁 
接口 ET 
4 固定 拟态 类型 管理 员 拓 态 。 动作 
B5183844) 。 192168.11 。 ACTWE 内 部 接口 。 UP 
6) 100.01 ACTWE MBO UP 
显示 2 条目 
[L 一 一- 


图 12.28 路 由 详情 页 面 


(3) 单 击 “增加 接口 ”按钮 ， 打 开 “ 增 加 接口 ”对 话 框 ， 如 图 12.29 所 示 。 在 “ 子 网 ” 
下 拉 菜 单 中 选择 刚刚 创建 的 网 络 private3 的 子 网 private_subnet2,“IP 地 址 ”文本 框 中 输入 接 
口 的 卫 地 址 ， 例 如 192.168.21.1， 单 击 “增加 接口 ”按钮 ， 关 闭 对 话 框 。 
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12.5.7 ”管理 实例 

所 谓 实例 (instance),， 实际 上 指 的 就 是 虚拟 机 。 之 所 以 称 为 实例 ， 是 因为 在 OpenStack 中 ， 
虚拟 机 总 是 从 一 个 镜像 创建 而 来 的 。 下 面 介绍 如 何 管理 实例 。 

以 demo 用 户 登录 控制 台 ， 进 入 “Compute” 一 “实例 ”菜单 ， 窗 口 右 侧 列 出 当前 租户 所 
拥有 的 实例 ， 如 图 12.31 所 示 。 


12.31 实例 列表 

单 击 右 上 角 的 “启动 云 主机 ”按钮 ， 打开 “启动 云 主 机 ”对 话 框 ， 如 图 12.32 所 示 。 在 “ 云 

主机 名 称 ” 文 本 框 中 输入 主机 名 称 ,例如 webserver。 在 “ 云 主机 类 型 "下拉 菜单 中 选择 ml.small” 

选项 ,创建 一 个 CPU、20GB 的 硬盘 以 及 2GB 内 存 的 虚拟 机 。“ 云 主机 数量 ”文本 框 中 输入 1， 

即 只 创建 一 个 虚拟 机 。“ 云 主机 启动 源 ” 下 拉 菜 单 选择 “从 镜像 启动 ”选项 ,“ 镜 像 名 称 ” 下 拉 
菜单 选择 “cirros(12.5MB)” 选 项 。 


boa (EB' ‘0 (@! ‘ 加 
| © 3 CD 58.64.138.219/dashboard/projec * 加 三 
| 国 启 动 云 主机 
4 
指定 创建 云 主机 的 详细 信息 
be 7 评 细 说 明 尼 田 云 主机 的 传 如 下 覃 的 到 来 寻 丰 此 项 浊 所 全 内 
本 本 从 过 和 基肥 种 硬 配备 
F 万 过 详 情 
名 移 1 small 
云 主机 类 型 虚报 内 入 
me 了 要 硕 尼 2068 
去 主机 才 量 ia 0eB 
1 人 2068 
St 闪存 2048 VB 
人 请 信 BE ， “项 目 限制 
云 主机 着 时 
入 艰 名 称 
[cros 02s ve) ， 谋取 内 核 妆 时 
内存 总 计 


12.32 创建 云 主 机 
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切换 到 “访问 & 安全 ”选项 卡 ， 如 图 12.33 所 示 。 在 “ 值 对 ”下 拉 菜 单 中 选择 一 个 密 钥 
对 作为 访问 虚拟 机 的 方式 。 选 中 “安全 组 ”中 的 “default” 选 项 。 


四 “ 国 < “加 :| ‘0 
D 58.64.138.219/dashboard 


通过 密 禄 对 、 防 淡 坑 、 和 其它 机 制 控制 和 的 云 主刀 权限 


default 


12.33 选择 密 钥 对 


如 果 目 前 还 没有 密 钥 对 ， 则 可 以 单 击 右 侧 的 二 按钮， 打开 “导入 密 钥 对 ”对 话 框 ， 如 图 
12.34 所 示 。 


/ox 面 区 “0 国 0 男 国 
| 4 会 C 1D 58.64.138.219/dashboard/project/instances/ 5S 国 = 


描述 : 
密 旬 对 是 可 以 用 未 登陆 你 创建 的 实例 


为 密 儿 对 起 一 个 你 容易 记 位 的 名 字 ， 然 后 在 提供 的 空 
白 处 在 贴 你 的 SSH 公 钥 


本 以 使 用 ssh-keygen 命 令 来 生成 SSH 密 钥 对 


个 是 私 胃 (cloud.key) 和 一 个 


从 钥 (cloud key.pub) 把 公 租 文件 内 容 丫 贴 在 这 里 


后， 你 使 用 密 钥 未 登陆 实例 (用 户 名 可 能 
， 这 取决 你 洁 成 的 镜像} 


4 = » 


图 12.34 ”导入 密 钥 对 


在 “ 密 钥 对 名 称 ” 文 本 框 中 输入 密 钥 对 的 标识 ， 例 如 key2。 然 后 在 终端 窗口 中 执行 以 下 
命令 : 
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以 上 命令 会 创建 一 个 名 称 为 cloud.key 的 私 钥 文件 以 及 名 称 为 cloud.key.pub 的 公 钥 文件 。 
然后 使 用 以 下 命令 打开 公 钥 文件 : 


将 其 内 容 粘贴 到 图 12.34 中 的 “ 公 钥 ”文本 框 中 。 单 击 “ 导 入 密 钥 对 ”按钮 ， 完 成 密 钥 对 
的 创建 。 


已 造 怪 的 网 络 通过 按 按 记 或 震 抑 搜 释 补 来 在 法 择 可 用 同 培 中 选择 同 络 , 当 
类 也 本 以 埋 过 樟 搜 笑 寺 认 改 王 nicI 且 友 


图 12.35 可 用 网 络 列表 


单 击 要 使 用 的 网 络 右 下 角 的 图 按钮 ， 选 中 该 网 络 ， 完 成 之 后 如 图 12.36 所 示 。 单 击 “运行 
按钮 ， 完 成 虚拟 机 的 创建 。 
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[= 5 le) 
Dx*\ 旧 ‘图 “加 ‘0 ' 国 图 “DQ ‘图 “图 
cc 58.64.138.219, 国 三 


启动 云 主机 


已 选择 的 网 络 


可 用 网 络 


图 12.36 选择 网 络 


此 时 ， 刚 刚 创建 的 实例 webserver 已 经 出 现在 实例 列表 中 ， 并 且 已 经 为 其 分 配 了 


192.168.21.3。 单 击 实例 名 称 ， 打 开 云 主机 详情 窗口 。 
虚拟 机 已 经 启动 ， 如 图 12.37 所 示 。 


切换 到 “控制 台 ” 选 项 卡 ， 


| ee) 
-= 回 s= + 本 8 5 天 图 
加 = 

emp 

Ce 云 主机 控制 台 

ud 
网 和 
对 条 全 


图 


12.37 ”实例 控制 台 


-个 地 址 
可 以 看 到 该 


尽管 实例 已 经 成 功 创建 ， 但 是 此 时 仍然 不 能 通过 SSH 访问 虚拟 机 ， 也 无 法 ping 通 该 虚拟 
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口 '* (四 ，“" 国 | “ 国 : “0O' “' 国 : “DD! “加 ‘0 国 “图! 
|€ G | 58.64.138.219/dashboard/project/access and secur 


添加 规则 


规则 


ALL ICMP "> 义 嘟 些 通过 规则 可 以 访问 云 主机 安全 组 由 一 
要 组 件 组 成 


方向 
和 口 
运程 
国 . 对 于 ICMP 规 则 你 需要 指定 CMP 
间 里 面 的 代码 


运程 .你 必须 指定 多 许 丁 过 源 可 以 通过 一 下 
两 种 方式 实现 ip 黑 名 单 形 式 | 者 通过 源 地 址 组 
(安全 组 | 作为 源 地 址 选 组 区 许 该 安全 组 中 
的 任何 去 主机 使 用 该 规则 访问 任何 云 主机 ， 


12.40 添加 规则 


为 了 能 够 使 得 外 部 网 络 中 的 主机 可 以 访问 虚拟 机 ， 还 需要 为 虚拟 机 绑 定 浮动 IP。 在 实例 
列表 中 ， 单 击 webserver 虚拟 机 所 在 行 的 最 右边 的 “更 多 ”按钮 ， 选 择 “ 绑 定 浮动 了 ”命令 ， 
打开 “管理 浮动 IP 的 关联 ”对 话 框 ， 在 “IP 地 址 ”下 拉 菜 单 中 选择 一 个 外 部 网 络 的 IP 地 址 ， 
如 图 12.41 所 示 。 单 击 “ 关 联 ” 按 钮 ， 完 成 IP 的 绑 定 。 


Drx\ 回 "7Y 国 c “U? YON \ 国 # 下 国 : (0O' 1【 男 < “图 c 
ba © 58.64.138.219/dasht /project/instar 加 =| 


管理 浮动 IP 的 关联 


IP 地 址 


IP 地 址 


112244.223 


请 为 选 中 的 三 主机 法 香 要 遇 定 的 IP 地 址 


符 连 人 的 商品 


图 12.41 绑 定 浮动 卫 


性 元 如 果 IP 地 址 下 拉 菜 单 中 没有 选项 ， 则 可 以 单 击 右 侧 的 | 二 按钮 ， 添 加 浮动 ]P。 | 
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第 13 章 
< 配置 OpenNebula 云 平台 > 


OpenNebula 是 一 个 非常 成 熟 的 云 平 台 ， 十 分 简单 但 功能 却 又 十 分 丰富 。 它 提供 了 十 分 灵 
活 的 解决 方案 ， 让 用 户 能 建立 并 管理 企业 云 和 虚拟 的 数据 中 心 。OpenNebula 的 设计 目标 是 简 
单 、 轻 便 、 灵 活 且 功能 强大 ， 也 正 因为 如 此 其 赢得 了 不 少 用 户 。 本 章 将 简要 介绍 OpenNebula 
云 平 台 及 其 使 用 方法 。 

本 章 主要 涉及 的 知识 点 有 : 

@ 云 简介 

@ OpenNebula 概述 

@ OpenNebula 安装 与 管理 


OpenNebula 概述 


OpenNebula 是 云 计 算 软 件 中 的 代表 之 一 ， 其 轻便 、 简 单 、 灵 活 的 特点 为 其 赢得 了 不 少 客 
户 ， 但 在 国内 仍 少 有 人 使 用 。 本 节 将 简要 介绍 云 计 算 与 OpenNebula 等 知识 。 


13.1.1 云 计算 概述 

云 计 算是 近年 来 兴起 的 新 技术 之 一 , 关于 云 计算 还 没有 一 个 准确 的 定义 , 有 许多 种 关于 云 
计算 的 解释 。 但 广 为 人 们 接受 的 是 美国 国家 标准 与 技术 研究 院 (National Institute of Standards 
and Technology，NIST) 的 定义 : 云 计算 是 一 种 按 使 用 量 付费 的 模式 ， 这 种 模式 提供 便捷 、 可 
用 和 按 需 求 的 网 络 访问 ,进入 可 配置 的 计算 资源 共享 池 (资源 包括 网 络 、 服 务 器 、 存 储 应 用 软 
件 及 服务 )， 这 些 资 源 能 够 被 快速 提供 ， 只 需 投 入 很 少 的 管理 工作 ， 或 与 服务 供应 商 进行 很 少 
的 交互 。 


及 元 | 美国 国家 标准 与 技术 研究 院 关于 云 计算 定义 的 翻译 来 源 于 网 络 ， 译 者 不 详 。 | 


云 计算 有 许多 种 应 用 实例 和 模型 本 书 并 不 涉及 ,本 书 中 介绍 的 云 计算 模型 均 是 以 虚拟 化 为 
核心 、 以 计算 机 网 络 技术 为 基础 的 计算 模式 。 此 类 模式 为 企业 提供 了 更 加 经 济 、 便捷 的 管理 模 
式 ， 广 泛 应 用 于 各 种 大 中 小 型 企业 中 。 
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云 计 算是 将 原来 较为 分 散 的 计算 、 存 储 、 服 务 器 等 资源 ， 通 过 计算 机 网 络 和 云 计 算 软 件 有 
效 地 整合 起 来 ， 从 而 形成 一 个 便于 管理 、 分 配 的 资源 库 。 当 新 客户 到 来 或 有 新 的 需求 时 ， 管 理 
员 仅 需 要 从 资源 库 中 选择 合乎 要 求 的 各 类 资源 ,并 进行 重新 组 装 即 可 供 新 客户 使 用 。 同 时 在 原 
有 基础 上 还 实现 了 资源 细 化 及 按 需 配置 。 

简单 来 说 就 是 将 原 有 的 服务 器 计算 资源 、 网 络 (通过 Vlan 的 形式 )、 存 储 等 资源 通过 虚拟 
化 的 方式 , 重新 组 装 成 新 的 虚拟 计算 机 ， 从 而 实现 对 资源 的 精确 分 配 。 由 此 可 以 说 云 计算 是 传 
统 的 分 布 式 计 算 、 网 络 存储 、 并 行 计算 、 虚 拟 化 、 负 载 均衡 、 效 用 计算 等 技术 与 网 络 技术 互相 
融合 的 产物 。 


13.1.2 OpenNebula 概述 

OpenNebula 是 专门 为 云 计算 打造 的 开源 系统 ， 用 户 可 以 使 用 Xen、KVM 甚至 是 VMware 
等 虚拟 化 软件 一 起 打造 企业 云 。 利 用 OpenNebula 可 以 轻松 地 构建 私有 云 、 混 合 云 及 公开 云 。 
OpenNebula 提供 的 接口 如 图 13.1 所 示 。 


[= Appliance Builders 
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13.1 OpenNebula 提供 的 接口 


OpenNebula 提供 的 接口 比较 丰富 , 如 管理 员 提供 了 包括 类 似 于 Unix 命令 行 的 工具 集 CLI 
及 功能 强大 的 GUI 界面 ; 可 扩展 的 底层 接口 提供 了 XML-RPC、Ruby、Java 等 API 供用 户 整 
合 使 用 等 。 

OpenNebula 还 提供 了 许多 资源 管理 和 预 配置 目录 ， 使 用 这 些 目录 中 的 资源 ， 可 以 快速 、 
安全 地 构建 富有 弹性 的 云 平台 ， 资 源 目录 如 图 13.2 所 示 。 
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(1) SELinux 配置 
SELinux 为 一 项 重要 的 配置 , OpenNebula 官方 建议 关闭 SELinux, 以 免 出 现 不 必要 的 错误 。 
关闭 SELinux 需要 修改 文件 /etc/sysconfig/selinux， 如 【示例 13-1】 所 示 。 


【示例 13-1】 


(2) 防火 墙 配置 
为 了 能 使 OpenNebula 正常 工作 ， 还 必须 配置 系统 防火 墙 开 放 相 关 端 口 。 在 本 例 中 将 采取 
关闭 防火 墙 的 方法 ， 如 【示例 13-2】 所 示 。 


【示例 13-2】 


(3) 软件 源 配 置 
OpenNebula 官方 提供 了 软件 源 方便 安装 ， 直 接 在 系统 上 添加 软件 源 ， 然 后 使 用 yum 工具 
安装 即 可 。 新 建 一 个 名 为 opennebula.repo 的 文件 ， 如 【示例 13-3】 所 示 。 


【示例 13-3】 


到 此 环境 配置 就 已 经 完成 了 ， 接 下 来 就 可 以 重新 启动 CentOS 7 让 所 有 配置 生效 。 
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13.2.2 ”控制 端 安装 
环境 配置 完成 后 就 可 以 开始 软件 安装 过 程 了 , 在 开始 安装 之 前 还 需要 安装 EPEL 源 , EPEL 
源 将 提供 一 些 额外 的 软件 包 。 安 装 过 程 如 【示例 13-4】 所 示 。 


【示例 13-4】 


确认 以 上 环境 和 软件 都 已 经 安装 完成 后 ， 还 需要 安装 依赖 软件 包 ， 如 【示例 13-5】 所 示 。 
【示例 13-5】 


安装 完成 后 ， 就 可 以 开始 装 OpenNebula， 如 【示例 13-6】 所 示 。 
【示例 13-6】 
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安装 完成 后 还 需要 安装 Ruby 库 才 能 使 用 OpenNebula 提供 了 一 个 集成 化 的 脚本 ,运行 此 
脚本 即 可 安装 ， 如 【示例 13-7】 所 示 。 


【示例 13-7】 
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由 于 许多 源 都 位 于 国外 ， 执 行 上 述 命令 安装 时 有 可 能 会 因 连 接 超时 而 导致 整个 安装 失败 ， 
此 时 可 以 添加 国内 的 淘宝 源 ， 然 后 再 执行 上 述 命 令 。 添 加 淘宝 源 命令 如 【示例 13-8】 所 示 。 


【示例 13-8】 


在 安装 Ruby 库 的 过 程 中 ， 可 能 会 有 许多 警告 信息 ， 无 须 担 心 ， 忽 略 即 可 。 如 果 安 装 某 个 
包 错误 导致 失败 ， 可 继续 运行 上 述 命令 重新 安装 直到 安装 结束 。 


13.2.3 ”客户 端 安装 

OpenNebula 可 以 使 用 多 种 虚拟 化 技术 客户 端 ， 如 KVM、Xen 甚至 是 VMware， 在 本 例 中 
将 采用 在 CentOS 7 中 安装 KVM 作为 客户 端 。CentOS 7 中 安装 KVM 的 方法 可 参考 本 书 的 第 
10 章 ， 此 处 不 再 效 述 。 

安装 完 KVM 之 后 就 可 以 开始 安装 OpenNebula 的 客户 端 程序 了 , 客户 端 程序 依然 采用 yum 
工具 安装 ， 因 此 需要 按 13.2.1 小 节 中 的 方法 先 配置 yum 源 。 安 装 方法 如 【示例 13-9】 所 示 。 


【示例 13-9】 
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完成 上 述 步骤 后 就 可 以 通过 网 页 打开 Sunstone 了 ， 如 图 13.3 所 示 。 


openNebue Sumtone x 


« 3 C [D1721645229869 


容 四 三 


OpenNebula 


Sunstone 


Openlebla 4. 12.1 Wy Operhebils Systens 


图 13.3 Sunstone 界面 
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加 载 中 
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至 此 服务 端 和 客户 端 都 已 经 配置 完成 了 。 


13.3 OpenNebula 配置 与 应 用 


学 习 了 OpenNebula 的 安装 之 后 , 接 下 就 可 以 配置 OpenNebula 了, 内容 包括 :配置 Sunstone、 
VDC 和 集群 , 设置 映像 、 模 板 管理 、 虚 拟 机 管理 等 ,与 第 10 章 中 介绍 的 oVirt 相 比 , OpenNebula 
还 有 大 量 的 工作 需要 做 , 这 些 工 作 主 要 来 自 映像 、 模 板 和 虚拟 机 管理 。 本 节 将 简要 介绍 如 何 将 
安装 好 的 OpenNebula 组 装 为 一 个 可 用 的 集群 ， 并 添加 一 些 映像 、 模 板 , 最 后 实例 化 为 虚拟 机 。 


13.3.1 配置 VDC 和 集群 

首次 登录 Sunstone 之 后 ， 可 以 发 现 其 默认 语言 为 英语 ， 可 以 修改 为 简体 中 文 。 修 改 的 方 
法 为 先 单 击 右上 角 的 当前 登录 的 用 户 名 ， 然 后 在 菜单 中 选择 “Settings”。 在 弹出 的 配置 界面 右 
上 和 角 单 击 “Conf”， 如 图 13.4 所 示 。 
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Configuration 


@ 从 三 出 回 


Info Conf Quolas ~ Accounting 。 Showback 


Language: 


Simplificd Chinese (zh_CN) 


Vicws: 


admin 


Default Toble order: 


descending 


13.4 ”Sunstone 语言 配置 


在 “Language” 下 拉 列 表 框 中 选择 “Simplified Chinese(zh_CN)”, 然后 单 击 “Update config” 
按钮 即 可 将 默认 语言 修改 为 简体 中 文 。 

VDC (Virtual Data Centers， 虚 拟 数据 中 心 ) 与 oVirt 中 的 数据 中 心 概念 相似 ,表示 一 组 或 
多 组 功能 集群 的 集合 。 但 在 OpenNebula 中 数据 中 心 和 集群 的 概念 相对 较 弱 ， 几 乎 没有 过 多 的 
约束 设置 , 只 有 在 做 故障 迁移 等 设置 时 , 这 些 设置 才 起 作用 。 如 果 没 有 故障 迁移 等 方面 的 需求 ， 
也 可 跳 过 虚拟 数据 中 心 和 集群 设置 。 

添加 VDC 可 以 在 Sunstone 界面 左 侧 的 系统 设置 中 选择 “VDCs”， 此 时 右 侧 将 显示 已 存在 
的 虚拟 数据 中 心 。 单 击 虚拟 数据 中 心 列表 上 方 的 加 号 , 将 弹出 添加 VDC 界面 , 如 图 13.5 所 示 。 


0 性 Cper 
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的 SHI 台 = E3 Ne 
大 二 葵 
Ps FE 已 
i 妇 罗 。 管理。 奖 和 
群 旨 管理 
| mc 名 © 
访 P 控 天 
入 后/ 这 刺 措 术 日 
二 
四 应 声场 
oncfion 自 定义 属性 
ET 
@ support 
Not connected 名 称 全 


13.5 添加 VDC 
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在 创建 VDC 界面 的 “常规 ”选项 中 输入 数据 中 心 的 名 称 、 描 述 信息 ， 然 后 在 “资源 ”中 
为 数据 中 心 添加 已 存在 的 集群 、 主 机 、 网 络 和 数据 仓库 ， 最 后 单 击 上 面 的 “创建 ”按钮 即 可 。 
需要 注意 的 是 , 数据 仓库 已 经 在 安装 时 自动 创建 , 此 处 可 以 直接 选择 所 有 数据 仓库 将 其 一 并 添 
加 到 数据 中 心中 。 

添加 完 VDC 后 ， 接 下 来 需要 创建 集群 。 单 击 左 侧 基础 设施 中 的 集群 管理 ， 界 面 右 侧 将 显示 
当前 系统 中 的 集群 列表 。 单 击 集群 列表 上 方 的 加 号 将 弹出 “创建 集群 ”界面 ， 如 图 13.6 所 示 。 


x 


创建 集群 

鱼 [= © 所 

imndusted | 主机 管理 。。 启 W 风 各 。。 数据 人 库 

ioy 名 称 千 种"% 政 Epcpu Bem# 基 

0 17216.4522 - 1 pect a 开 n 
eg ey 

请 从 列表 中 达 择 一 个 或 者 允 个 主机 

图 13.6 创建 集群 


在 “名 称 ”中 输入 集群 名 称 ， 然 后 在 “主机 管理 ”中 选中 主机 、“ 虚 拟 网 络 ” 中 选择 添加 
的 网 络 ， 然 后 选择 “数据 仓库 ” 最 后 单 击 “ 创 建 ” 按 钮 即 可 。 

添加 完 集群 和 数据 中 心 后 ,可 以 在 数据 中 心 界面 中 的 数据 中 心 列表 中 单 击 创建 的 数据 中 心 
查看 数据 中 心 详情 。 在 数据 中 心 详情 界面 右上 角 单 击 更 新 , 然后 在 资源 选项 的 集群 管理 中 为 数 
据 中 心 添加 集群 。 也 可 以 更 新 数据 仓库 等 设置 ， 集 群 也 可 使 用 同样 的 方法 更 新 设置 。 


总 OpenNebula 还 预 设 了 各 种 角色 和 用 户 ， 同 时 还 提供 了 计 费 等 功能 ， 本 书 中 并 不 涉及 ， 读 
忆 者 可 自行 参考 相关 资料 了 解 。 


13.3.2 添加 KVM 主机 

主机 是 云 计算 中 的 计算 节点 , 通俗 地 讲 主机 主要 是 将 存储 资源 、 网 络 资源 集中 起 来 , 并 使 
用 自身 的 计算 资源 以 虚拟 机 的 方式 汇集 各 种 资源 为 客户 提供 服务 。OpenNebula 中 可 以 添加 的 
主机 有 Xen、KVM、VMware 及 vCenter， 由 于 红 帽 公司 主导 使 用 KVM 虚拟 化 ， 因 此 本 书 中 
主要 介绍 KVM 主机 的 使 用 方法 ， 其 他 主机 并 不 涉及 ， 如 需 使 用 可 以 参考 OpenNebula 的 官方 
文档 了 解 。 
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图 13.9 主机 信息 


在 主机 信息 界面 的 信息 选项 中 可 以 查看 到 当前 主机 的 主要 信息 ， 如 已 分 配 CPU、 内 存 、 
CPU 型 号 等 。 在 图 表 信 息 中 将 显示 过 去 一 段 时 间 内 CPU 和 内 存 的 使 用 情况 ，vm 数量 将 显示 
当前 主机 运行 的 主机 列表 。 


2. 使 用 CLI 方式 添加 
使 用 CLI 方式 添加 主机 与 图 形 界面 所 需 参数 相同 ， 添 加 过 程 如 【示例 13-15】 所 示 。 
【示例 13-15】 


13.3.3 ”建立 映像 
OpenNebula 安装 完成 后 建立 虚拟 时 ， 需 要 使 用 操作 系统 模板 ， 模 板 可 以 快速 转换 为 虚拟 
机 , 而 不 再 需要 安装 操作 系统 。 建立 系统 模板 需要 使 用 磁盘 映像 , 磁盘 映像 就 是 虚拟 磁盘 文件 。 
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在 “导入 应 用 ”窗口 中 选择 数据 仓库 ， 填 入 映像 名 称 、 模 板 名 称 ， 然 后 单 击 “导入 ”按钮 
即 可 。 然后 在 左 侧 的 虚拟 资源 中 的 映像 管理 和 模板 管理 中 , 可 以 看 到 导入 的 应 用 , 但 在 下 载 完 
成 前 映像 和 模板 将 无 法 使 用 。 

使 用 导入 应 用 的 方式 创建 模板 十 分 方便 、 快捷 , 但 如 果 网 络 不 通畅 (下 载 地 址 为 国外 地 址 ) 
导致 超时 将 会 添加 失败 。 


2. 自制 映像 


磁盘 映像 有 多 种 格式 ， 如 raw、qcow2、qed、vmdk、vdi 等 ， 这 些 格式 都 拥有 不 同 的 特性 ， 
读者 可 阅读 相关 文档 了 解 这 些 格式 的 特点 ,在 本 例 中 将 采用 KVM 默认 使 用 的 qcow2 作为 映像 
格式 ， 建 立 映像 过 程 如 【示例 13-16】 所 示 。 


【示例 13-16】 


执行 上 述 命令 后 ， 使 用 VNC Viewer 在 服务 器 地 址 中 输入 172.16.45.22: 5900， 远 程 连接 
到 虚拟 机 ， 如 图 13.12 所 示 。 
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CentOS 6 


Community ENTerprise Operating System 


图 13.12 ”VNC 远程 连接 虚拟 机 控制 台 


在 虚拟 机 的 控制 台中 将 系统 安装 完成 并 作 相 应 的 设置 后 , 在 控制 台中 关闭 系统 , 这 样 就 得 
到 了 一 个 安装 了 系统 的 虚拟 磁盘 。 

接 下 来 就 需要 将 虚拟 磁盘 导入 OpenNebula, 可 以 使 用 两 种 方法 导入 映像 , 其 一 是 使 用 CLI 
命令 方式 ; 其 二 是 在 Sunstone 中 导入 映像 。 无 论 使 用 哪 种 方式 导入 映像 , 都 需要 保证 oneadmin 
用 户 能 读 取 映 像 文件 ， 和 否则 导入 将 失败 。 使 用 CLI 命令 方式 导入 过 程 如 【示例 13-17】 所 示 。 


【示例 13-17】 


# 以 下 命令 在 控制 端 执 行 
# 首 行 查看 权限 
[root@mal datal# 11 CentOSs6.5-x86 64-Desktop.qcow2 
-rw-r--r-- 1 root root 4236247040 Jul 7 11:02 CentOS6.5-x86_64-Desktop.qcow2 
# 切 换 用 户 到 oneadmin 并 查看 系统 中 的 映像 列表 
[root@mal data]# su - oneadmin 
[oneadmin@mal ~]$ oneimage list 
ID USER GROUP NAME DATASTORE SIZE TYPE PER STAT RVMS 
0 oneadmin oneadmin CentOS6.5-x86 6 default 15G OS No used 1 
# 编 辑 导入 文件 ， 内 容 如 下 所 示 


[oneadmin@mal ~]$ cat centos.one 


NAME = "Cent0S6.5-x86_64-Desktop" 
PATH = "/data/Cent0S6.5-x86_64-Desktop.qcow2" 
TYPE = 0S 
DESCRIPTION = "centos 6.5 desktop" 
DRIVER = qcow2 
# 查 看 数据 仓库 
[oneadmin@mal ~]$ onedatastore list 
ID NAME SIZE AVAIL CLUSTER IMAGES TYPE DS TM STRA 
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在 创建 硬盘 映像 窗口 中 输入 名 称 、 描 述 , 选择 数据 仓库 并 在 路 径 中 输入 映像 位 置 ,在 高 级 
中 的 驱动 程序 中 输入 qcow2， 最 后 单 击 “ 创 建 ”按钮 即 可 添加 新 映像 。 同 使 用 CLI 方式 相同 ， 
新 添加 的 映像 在 列表 中 的 状态 为 锁定 ， 当 导入 成 功 后 状态 将 变 为 就 绪 。 


13.3.4 添加 虚拟 网 络 和 模板 

当 映 像 导 入 成 功 之 后 ， 还 需要 创建 虚拟 网 络 才能 添加 模板 ， 最 后 在 模板 的 基础 上 创建 
虚拟 机 。 

1. 添加 虚拟 网 络 


在 Sunstone 左 侧 的 基础 设施 中 选择 虚拟 网 络 ， 此 时 右 侧 将 显示 虚拟 网 络 列表 ， 单 击 列表 
上 方 的 加 号 ， 将 显示 创建 虚拟 网 络 页 面 ， 如 图 13.14 所 示 。 


创建 虚拟 网 络 
© 全 至 有 
常规 再 村 地 址 Securiy 

和 名称: 日 

wneto 

描述 日 


图 13.14 创建 虚拟 网 络 


在 “常规 ”选项 中 输入 虚拟 网 络 的 名 称 ， 然 后 在 “配置 ”选项 中 输入 网 桥 和 网 络 模式 ， 在 
本 例 中 输入 网 桥 为 br0， 即 桥接 网 络 ， 网 络 模式 保持 默认 。OpenNebula 也 支持 802.1q 协议 的 
多 Vlan 中 继 ， 因 此 此 处 需要 按 实 际 情况 选择 。 接 下 来 需要 在 “地 址 ”选项 中 输入 IP 起 始 地 址 
和 大 小 〈 即 地 址 数量 )， 最 后 单 击 “ 创 建 ” 按 钮 ， 即 可 创建 虚拟 网 络 。 


2. 创建 模板 


在 Sunstone 界面 的 左 侧 选择 虚拟 资源 中 的 模板 管理 ， 此 时 右 侧 将 显示 当前 已 存在 的 模板 
列表 ， 单 击 列表 上 方 的 加 号 将 显示 创建 模板 页 面 ， 如 图 13.15 所 示 。 
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在 步骤 一 中 的 VM 名 称 中 输入 虚拟 机 名 ， 然 后 在 步骤 二 中 选择 一 个 模板 ， 然 后 单 击 “ 创 
建 ” 按钮 ， 就 完成 虚拟 机 创建 了 。 创 建 完 虚 拟 机 之 后 ， 可 以 在 虚拟 机 管理 中 查看 到 刚 创建 的 虚 
拟 机 。 刚 创建 的 虚拟 机 还 不 能 立即 访问 , 还 需要 等 待 系统 分 配 资源 ， 当 资源 分 配 完成 后 可 以 在 
状态 中 看 到 虚拟 机 处 于 运行 状态 ， 此 时 就 可 以 访问 了 。 如 果 状 态 为 错误 或 其 他 非 正 常 的 状态 ， 
可 以 在 列表 中 单 击 虚拟 机 ， 在 虚拟 机 详细 信息 中 选择 日 志 ， 查 看 错误 原因 并 排除 错误 。 

当 虚 拟 机 处 于 运行 状态 时 ， 可 通过 VNC 客户 端 进行 访问 ,访问 端口 可 通过 虚拟 机 详细 信 
息 中 的 模板 中 查看 GRAPHICS 信息 )。 另 一 个 访问 虚拟 机 的 方法 是 在 虚拟 机 列表 中 ， 运行 的 
虚拟 机 后 有 一 个 显示 器 图 标 ， 单 击 此 图 标 将 在 网 页 中 显示 控制 台 ， 如 图 13.17 所 示 。 


one i 
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ES 
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图 13.17 网 页 访问 虚拟 机 控制 台 


OpenNebula 中 虚拟 机 还 有 许多 操作 ， 读 者 可 通过 阅读 其 官方 网 站 的 相关 说 明了 解 详情 并 
进一步 使 用 。 


小 结 
OpenNebula 是 一 个 功能 十 分 强大 而 又 简单 的 开源 云 计算 平台 ， 虽 然 目前 国内 使 用 的 人 较 


少 , 但 可 以 预见 在 不 久 的 将 来 , 将 会 有 大 量 的 用 户 使 用 。 本 章 介绍 了 OpenNebula 的 基本 情况 ， 
还 介绍 了 OpenNebula 在 CentOS 7 中 的 安装 和 配置 等 内 容 。 
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cp 可 以 复制 一 个 或 多 个 文件 ， 当 复制 多 个 文件 时 ， 最 后 一 个 参数 必须 为 已 经 存在 的 目录 ， 
否则 会 提示 错误 。 如 果 忽 略 提示 信息 则 可 以 使 用 “-f” 选项。 


为 防止 用 户 在 不 经 意 的 情况 下 使 用 cp 命令 破坏 另 一 个 文件 ， 如 用 户 指定 的 目标 文件 名 已 
存在 ， 用 cp 命令 拷贝 文件 后 ， 这 个 文件 就 会 被 材 盖 ，“i” 选项 可 以 在 材 盖 之 前 询问 用 户 。 


A.1.2 ”移动 文件 mv 

用 户 可 以 使 用 mv 命令 来 移动 文件 或 目录 至 另 一 文件 或 目录 ， 还 可 以 将 目录 或 文件 重 命 
名 。mv 只 接收 两 个 参数 ,第 1 个 为 要 移动 或 重 命 名 的 文件 或 目录 , 第 2 个 为 新 文件 名 或 目录 。 
当 mv 接收 两 个 参数 或 多 个 参数 时 ， 如 果 最 后 一 个 参数 对 应 的 是 目录 而 且 该 目录 存在 ，myv 会 
将 各 参数 指定 的 文件 或 目录 移动 到 此 目录 中 ， 如 果 目 的 文件 存在 时 ， 将 会 进行 覆盖 。 


【示例 A-2】 
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A.1.4 删除 文件 rm 

用 户 可 以 用 rm 命令 删除 不 需要 的 文件 。rm 可 以 删除 文件 或 目录 ,并 且 支 持 通配符 ， 如 目 
录 中 存在 其 他 文件 则 会 递归 删除 。 删 除 软 链接 只 是 删除 链接 ， 对 应 的 文件 或 目录 不 会 被 删除 ， 
软 链 接 类 似 Windows 系统 中 的 快捷 方式 。 如 删除 硬 链 接 后 文件 存在 ， 其 他 的 硬 链接 文件 内 容 
仍 可 以 访问 。 

rm 命令 的 一 般 形式 为 :rm [-dfirv][--help][--version][ 文 件 或 目录 .…]。 

如 不 加 任何 参数 ，rm 不 能 删除 目录 。 使 用 “r “或 “R“ 选 项 可 以 删除 指定 的 文件 或 目录 
及 其 下 面 的 内 容 。 


【示例 A-4】 
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使 用 rm 命令 一 定 要 小 心 。 文 件 一 旦 被 删除 不 能 恢复 ， 为 防止 勿 删除 文件 ， 可 以 使 用 “i” 
选项 来 逐个 确认 要 删除 的 文件 并 逐个 确认 是 否 要 删除 。 使 用 “f” 选 项 删除 文件 或 目录 时 不 给 
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使 用 cat 可 以 复制 文件 ， 包 括 文本 文件 、 二 进 制 文件 或 ISO 光盘 文件 等 。 


2. more 和 less 


使 用 cat 命令 查看 文件 时 ， 如 一 文件 有 很 多 行 ， 会 出 现 滚屏 的 问题 ， 这 时 可 以 使 用 more 
或 less 查看 ，more 和 less 可 以 和 其 他 命令 结合 使 用 ， 也 可 以 单独 使 用 。 

more 命令 使 用 space 空格 键 可 以 向 后 翻 页 ,“b” 向 前 翻 页 。 帮 助 可 以 选择 “h”， 更 多 使 
用 方法 可 以 使 用 “man more” 查 看 帮助 文档 。 


【示例 A-6】 
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如 忘记 某 个 文件 的 位 置 ， 可 使 用 以 下 命令 查找 指定 文件 ， 如 执行 完毕 没有 任何 输出 ， 则 表 
示 系 统 中 不 存在 此 文件 。 使 用 name 选项 ， 文 件 名 选项 是 find 命令 最 常用 的 选项 ， 要 么 单独 使 
用 该 选项 ， 要 么 和 其 他 选项 一 起 使 用 。 可 以 使 用 某 种 文件 名 模式 来 匹配 文件 ， 记 住 要 用 引号 将 
文件 名 模式 引起 来 。 不 管 当前 路 径 是 什么 ， 如 需 在 自己 的 根 目录 $HOME 中 查找 文件 名 符合 
“*txt” 的 文件 ， 可 以 使 用 ~ 作为 路 径 参 数 ， 波 浪 号 “~” 代 表 了 当前 用 户 的 主 目录 。 


A.1.7 “过滤 文本 grep 

grep 是 一 种 强大 的 文本 搜索 工具 命令 ， 用 于 查找 文件 中 符合 指定 格式 的 字符 串 ， 支 持 正 
则 表达 式 。 如 不 指定 任何 文件 名 称 ， 或 是 所 给 予 的 文件 名 为 “-”， 则 grep 命令 从 标准 输入 设 
备 读 取 数 据 。grep 家 族 包 括 grep、egrep 和 ferep。egrep 和 fgrep 的 命令 只 跟 grep 有 很 小 不 同 。 
egrep 是 grep 的 扩展 。fgrep 就 是 fixed grep 或 fast grep， 该 命令 使 用 任何 正则 表达 式 中 的 元 字 
符 表示 其 自身 的 字面 意义 ， 不 再 特殊 。 其 中 egrep 就 等 同 于 “grep -E”，fgrep 等 同 于 “grep -下 
“。Linux 中 的 grep 功能 强大 ， 支 持 很 多 丰富 的 参数 ， 可 以 方便 地 进行 一 些 文本 处 理工 作 。 

grep 单独 使 用 时 至 少 有 两 个 参数 ， 如 少 于 两 个 参数 ，grep 会 一 直 等 待 ， 直 到 该 程序 被 中 
断 。 如 果 遇 到 了 这 样 的 情况 ， 可 以 按 “Ctrlte” 终 止 。 默 认 情况 下 只 搜索 当前 目录 ， 如 果 弟 归 
查找 子 目录 ， 可 使 用 “r” 选 项 。 


【示例 A-8】 
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grep 支持 丰富 的 正则 表达 式 ， 常 见 的 正则 元 字符 含义 如 表 A.1 所 示 。 
表 A.1 grep 正则 参数 说 明 


Ry 
溢 


| 


说 明 
指定 匹配 字符 串 的 行 首 


进 
[ug 
已 
型 
4 
全 
炳 
ey 
蛤 
机 


表示 0 个 以 上 的 字符 

表示 1 个 以 上 的 字符 

去 掉 指 定 字符 的 特殊 含义 
指定 行 的 开始 

指定 行 的 结束 

匹配 一 个 非 换行 符 的 字符 

匹配 零 个 或 多 个 先前 字符 

匹配 一 个 指定 范围 内 的 字符 

匹配 一 个 不 在 指定 范围 内 的 字符 
标记 匹配 字符 

指定 单词 的 开始 

指定 单词 的 结束 

重复 字符 x，m 次 

重复 字符 x, 至 少 m 次 

x{mn 重复 字符 x， 至 少 m 次 , 不 多 于 n 次 
匹配 文字 和 数字 字符 ， 也 就 是 [A-Za-z0-9] 


单词 锁定 符 
匹配 一 个 或 多 个 先前 的 字符 


匹配 零 个 或 多 个 先前 的 字符 


CD 
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( 续 表 ) 
参数 说 明 

| abe | 匹配 a 或 b 或 e 
| 0 | 分 组 符号 
文字 数字 字符 
rl 文字 字符 
| 数字 字符 
本 非 空格 、 控 制 字符 
:lower: 小 写字 符 
控制 字符 
非 空 字符 〈 包 括 空 格 ) 
unct] | 标点 符号 
所 有 空白 字符 (新 行 ， 空 格 ， 制 表 符 ) 
大 写字 符 
el | 十 六 进 制 数字 (0-9，a-f，A-F) 


A.1.8 比较 文件 差异 diff 

di 企 命令 的 功能 为 逐 行 比较 两 个 文本 文件 ， 列 出 其 不 同 之 处 。 它 对 给 出 的 文件 进行 系统 的 
检查 ， 并 显示 出 两 个 文件 中 所 有 不 同 的 行 ， 以 便 告知 用 户 为 了 使 两 个 文件 filel 和 file2 一 致 ， 
需要 修改 它们 的 哪些 行 ， 比 较 之 前 不 要 求 事先 对 文件 进行 排序 。 如 果 和 i 任 命令 后 跟 的 是 目录 ， 
则 会 对 该 目录 中 的 同名 文件 进行 比较 ， 但 不 会 比较 其 中 子 目 录 。 


【示例 A-9】 
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硬 链 接 指向 的 文件 进行 读 写 和 删除 操作 的 时 候 ， 效 果 和 符号 链接 相同 。 删 除 硬 链 接 文件 的 
源 文件 ， 硬 链接 文件 仍然 存在 ， 可 以 将 硬 链接 指向 的 文件 认为 是 不 同 的 文件 ， 只 是 具有 相同 的 
内 容 。 


A.1.10 ”显示 文件 类 型 file 
file 命令 用 来 显示 文件 的 类 型 , 对 于 每 个 给 定 的 参数 , 该 命令 试图 将 文件 分 类 为 文本 文件 、 
可 执行 文件 、 压 缩 文件 或 其 他 可 理解 的 数据 格式 。 


CentOS7 


【示例 A-11】 


A.1.11 ”分割 文件 split 

当 处 理 文件 时 , 有 时 需要 将 文件 做 分 隔 处 理 , split 命令 用 于 分 割 文件 , 可 以 分 割 文本 文件 ， 
按 指定 的 行 数 分 隔 ,每 个 分 隔 后 的 文件 都 包含 相同 的 行 数 。split 可 以 分 隔 非 文本 文件 ， 分 割 时 
可 以 指定 每 个 文件 的 大 小 ， 分 隔 后 的 文件 有 相同 的 大 小 。split 后 的 文件 可 以 使 用 cat 命令 组 装 
在 一 起 。 

【示例 A-12】 
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A.1.13 文件 权限 umask 
umask 用 于 指定 在 建立 文件 时 预 设 的 权限 掩 码 。 权 限 掩 码 是 3 个 八进制 的 数字 所 组 成 , 将 
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现 有 的 存 取 权 限 减 掉 权限 掩 码 后 ， 即 可 产生 建立 文件 时 预 设 的 权限 。 

需要 注意 的 是 文件 基数 为 666， 目 录 为 777， 即 文件 可 设 x 位 ， 目 录 可 设 x 位 。chmod 改 
变 文件 权限 位 时 设 定 哪个 位 ， 那 么 哪个 位 就 有 权限 ; 而 umask 是 设 定 哪个 位 ， 则 哪个 位 上 就 
没 权 限 。 当 完成 一 次 设 定 后 ， 只 针对 当前 登录 的 环境 有 效 ， 如 想 永 久保 在， 可 以 加 入 对 应 用 户 
的 profile 文件 中 : 


umask 参数 中 的 数字 范围 为 000~777。umask 计算 方法 分 为 目录 和 文件 两 种 情况 。 相 应 的 
文件 和 目录 默认 创建 权限 确定 步骤 如 下 : 


(1) 目录 和 文件 的 最 大 权限 模式 为 777， 即 所 有 用 户 都 具有 读 、 写 和 执行 权限 。 

(2) 得 到 当前 环境 umask 的 值 ， 当 前 系统 为 0022。 

(3) 对 于 目录 来 说 。 根 据 互 补 原 则 目录 权限 为 755， 而 文件 由 于 默认 没有 执行 权限 。 最 
大 为 666， 则 对 应 的 文件 权限 为 644。 


【示例 A-14】 


A.1.14 文本 操作 awk 和 sed 


awk 和 sed 为 Linux 系统 中 强大 的 文本 处 理工 具 ， 其 使 用 方法 比较 简洁 ， 而 且 处 理 效率 非 
常 高 ， 本 节 主 要 介绍 awk 和 sed 命令 的 使 用 方法 。 


1 . awk 命令 


awk 命令 用 于 Linux 下 的 文本 处 理 。 数 据 可 以 来 自 文件 或 标准 输入 , 支持 正则 表达 式 等 功 
能 ， 是 Linux 下 强大 的 文本 处 理工 具 。 


【示例 A-15】 
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一 沸 定 swk 时 首先 从 给 定 的 文件 中 读 取 内 容 ， 然 后 针对 文件 中 的 每 一 行 执行 print 命令 ， 


合并 把 输出 发 送 至 标准 输出 ， 如 屏幕 。 在 awk 中 ，“{}” 用 于 将 代码 分 块 。 由 于 awk 默认 
的 分 隔 符 为 空格 等 空白 字符 ， 上 述 示例 中 的 功能 为 将 文件 中 的 每 行 打印 出 来 。 


2 . sed 命令 

在 修改 文件 时 , 如 果 不 断 地 重复 某 些 编辑 动作 ， 则 可 用 sed 命令 完成 。sed 命令 为 Linux 
系统 中 将 编辑 工作 自动 化 的 编辑 器 , 使 用 者 无 须 直接 编辑 数据 ， 是 一 种 非 交 互 式 上 下 文 编辑 
器 ， 一 般 的 Linux 系统 ， 本 身 即 安装 有 sed 工具 。 使 用 sed 可 以 完成 数据 行 的 删除 、 更 改 、 添 
加 、 插 入 、 合 并 或 交换 等 操作 。 同 awk 类 似 ，sed 的 命令 可 以 通过 命令 行 、 管 道 或 文件 输入 。 

sed 命令 可 以 打印 指定 的 行 至 标准 输出 或 重 定向 至 文件 ， 打 印 指定 的 行 可 以 使 用 “p” 命 
令 ， 可 以 打印 指定 的 某 一 行 或 某 个 范围 的 行 。 


【示例 A-16】 


枚 “2p” 表 示 只 打印 第 2 行 ， 而 2,3p 表示 打印 一 个 范围 。 


和 内 .2 目录 管理 


目录 是 Linux 的 基本 组 成 部 分 ， 目 录 管理 包括 目录 的 复制 、 删 除 、 修 改 等 操作 ， 本 节 主 要 
介绍 Linux 中 目录 管理 相关 的 命令 。 


A.2.1 显示 当前 工作 目录 pwd 
pwd 命令 用 于 显示 当前 工作 目录 的 完整 路 径 。pwd 命令 使 用 比较 简单 , 默认 情况 下 不 带 任 
何 参数 ， 执 行 该 命令 显示 当前 路 径 。 如 果 当 前 路 径 有 软 链接 ， 显 示 链 接 路 径 而 非 实际 路 径 ， 使 
用 “P” 参 数 可 以 显示 当前 路 径 的 实际 路 径 。 
【示例 A-17】 
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A.2.3 ”删除 目录 rmdir 


rmdir 命令 用 于 删除 指定 的 目录 ， 删 除 的 目录 必须 为 空 目录 或 为 多 级 空 目录 。 如 使 用 “p” 
参数 ,“rmdir -p ayblc” 等 价 于 “rmdir ayb/c rmdira/b rmdira”。 


【示例 A-19】 


县 当 使 用 “p” 参 数 时 ， 如 目录 中 存在 空 目录 和 文件 ， 则 空 目 录 会 被 删除 ， 上 一 级 目录 不 能 
删除 。 


A.2.4 改变 工作 目录 cd 
cd 命令 用 于 切换 工作 目录 为 指定 的 目录 ， 参 数 可 以 为 相对 路 径 或 绝对 路 径 ， 如 不 跟 任何 
参数 ， 则 切换 到 用 户 的 主 目录 ，ed 为 最 常用 的 命令 ， 与 DOS 下 的 ed 命令 类 似 。 


【示例 A-20】 
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A.2.5 查看 工作 目录 文件 ls 


ls 命令 是 Linux 下 最 常用 的 命令 。ls 命令 就 是 list 的 缩写 。 默 认 情 况 下 ls 用 来 查看 当前 目 
录 的 清单 ， 如 果 Is 指定 其 他 目录 ， 那 么 就 会 显示 指定 目录 里 的 文件 及 文件 夹 清单 。 通 过 ls 命 
令 不 仅 可 以 查看 Linux 文件 夹 包含 的 文件 ,而且 可 以 查看 文件 权限 (包括 目录 、 文 件 夹 、 文 件 
权限 )、 查 看 目录 信息 等 等 。 


【示例 A-21】 
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《附录 ALinux 常用 命令 示例 


A.2.6 


第 1 列 后 9 个 字母 表示 该 文件 或 目录 的 权限 位 。r 表 是 读 、w 表示 写 、x 表示 执行 。 
第 2 列表 示 文件 硬 链 接 数 。 

第 3 列表 示 文件 拥有 者 。 

第 4 列表 示 文 件 拥有 者 所 在 的 组 。 

第 5 列表 示 文 件 大 小 ， 如 果 是 目录 ， 表示 该 目录 大 小 。 注 意 是 目录 本 身 大 小 ， 而 非 目 
录 及 其 下 面 的 文件 的 总 大 小 。 

第 6 列表 示 文 件 或 目录 的 最 近 修 改 时间 。 


查看 目录 树 tree 


使 用 tree 命令 以 树 状 图 递归 的 形式 显示 各 级 目录 ， 可 以 方便 地 看 到 目录 结构 。 
【示例 A-22】 
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A.2.7 ”打包 或 解 包 文件 tar 

tar 命令 用 于 将 文件 打包 或 解 包 , 扩展 名 一 般 为 “.tar”, 指定 特定 参数 可 以 调用 gzip 或 bzip2 
制作 压缩 包 或 解 开 压 缩 包 ， 扩 展 名 为 “targz” 或 “.tarbz2”。 

tar 命令 相关 的 包 一 般 使 用 .tar 作为 文件 名 标识 。 如 果 加 z 参数 ， 则 以 targz 或 tgz 来 代表 
gzip 压缩 过 的 tar。 


【示例 A-23】 
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A.2.8 压缩 或 解 庄 缩 文件 和 目录 zip/unzip 

zip 是 Linux 系统 下 广泛 使 用 的 压缩 程序 ， 文 件 压缩 后 扩展 名 为 “.zip”。 

zip 命令 的 基本 用 法 是 ，zip [参数 ] [打包 后 的 文件 名 ] [打包 的 目录 路 径 ]。 路 径 可 以 是 相对 
路 径 ， 也 可 以 是 绝对 路 径 。 


【示例 A-24】 


zip 命令 用 来 将 文件 压缩 成 为 常用 的 zip 格式 。 
unzip 命令 则 用 来 解压 缩 zip 文件 。 


【示例 A-25】 
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A.2.9 ”压缩 或 解压 缩 文 件 和 目录 gzip/gunzip 
和 zip 命令 类 似 ，gzip 用 于 文件 的 压缩 ，gzip 压缩 后 的 文件 名 扩展 名 为 “.gz” gzip 默认 
压缩 后 会 删除 原文 件 。gunzip 用 于 解压 经 过 gzip 压缩 过 的 文件 。 


【示例 A-26】 
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zgrep 命令 功能 是 在 压缩 文件 中 寻找 匹配 的 正则 表达 式 ， 用 法 和 grep 命令 一 样 ， 只 不 过 操 
作 的 对 象 是 压缩 文件 。 如 果 用 户 想 看 看 在 某 个 压缩 文件 中 有 没有 某 一 句 话 , 便 可 用 zgrep 命令 。 


A.2.10 ”压缩 或 解压 缩 文 件 和 目录 bzip2/bunzip2 

bzip2 是 Linux 下 的 一 款 压缩 软件 ， 能 够 高 效 地 完成 文件 数据 的 压缩 。 支 持 现在 大 多 数 压 
缩 格式 ,包括 tar、gzip 等 等 。 若 没有 加 上 任何 参数 ，bzip2 压缩 完 文件 后 会 产生 .bz2 的 压缩 文 
件 ， 并 删除 原始 的 文件 。 压缩 效率 bzip2 比 传统 的 gzip 或 ZIP 的 压缩 效率 更 高 , 但 是 它 的 压缩 
速度 较 慢 。bzip2 只 是 一 个 数据 压缩 工具 ， 而 不 是 归档 工具 ， 在 这 一 点 上 与 gzip 类 似 。 

bunzip2 是 bzip2 的 一 个 符号 连接 ， 但 bunzip2 和 bzip2 的 功能 却 正 好 相反 。bzip2 是 用 来 
压缩 文件 的 ， 而 bunzip2 是 用 来 解压 文件 的 ， 相 当 于 bzip2 -d， 类 似 的 有 zip 和 unzip、gzip 和 
gunzip、compress 和 uncompress。 

gzip、bzip2 一 次 只 能 压缩 一 个 文件 ， 如 果 要 同时 压缩 多 个 文件 ， 则 需 将 其 打 个 tar 包 ， 然 
后 压缩 即 targz、tarbz2，Linux 系统 中 bzip2 也 可 以 与 tar 一 起 使 用 。bzip2 可 以 压缩 文件 ， 也 
可 以 解压 文件 ， 解 压 也 可 以 使 用 另外 一 个 名 字 bunzip2。 bzip2 的 命令 行 标志 大 部 分 与 gzip 相 
同 ， 所 以 ， 从 tar 文件 解压 bzip2 压缩 的 文件 方法 如 下 所 示 。 


【示例 A-27】 
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和 内 .了 系统 管理 


如 何 查看 系统 帮助 ? 历史 命令 如 何 查 看 ? 日 常 使 用 中 有 一 些 命令 可 以 提高 Linux 系统 的 
使 用 效率 ， 本 节 主 要 介绍 系统 管理 相关 的 命令 。 


A.3.1 查看 命令 帮助 man 
使 用 man 这 个 命令 可 以 调 阅 其 中 的 帮助 信息 ， 非 常 方便 和 实用 。 在 输入 命令 有 困难 时 ， 
可 以 立刻 查阅 相关 帮助 信息 。 
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【示例 A-28】 


A.3.2 ”导出 环境 变量 export 


一 个 变量 的 设置 一 般 只 在 当前 环境 有 效 , export 命令 可 以 用 于 传递 一 个 或 多 个 变量 的 值 到 
任何 后 续 脚本 。export 可 新 增 、 修 改 或 删除 环境 变量 ， 供 后 续 执行 的 程序 使 用 。export 的 效力 
仅 限于 该 次 登录 操作 。 


【示例 A-29】 
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里 与 运 维 实战 


A.3.3 ”查看 历史 记录 history 

当 使 用 终端 命令 行 输入 并 执行 命令 时 ，Linux 会 自动 把 命令 记录 到 历史 列表 中 ， 一 般 保存 
在 用 户 HOME 目录 下 的 .bash_history 文件 中 。 默 认 保存 1000 条 ， 这 个 值 可 以 更 改 。 如 果 不 需 
要 查看 历史 命令 中 的 所 有 项 目 ，history 可 以 只 查看 最 近 n 条 命令 列表 。history 命令 不 仅 可 以 
查询 历史 命令 ， 而 且 有 相关 的 功能 执行 命令 。 

系统 安装 完毕 ， 执 行 history 并 不 会 记录 历史 命令 的 时 间 ， 通 过 特定 的 设置 可 以 记录 命令 
的 执行 时 间 。 使 用 上 下 方向 键 可 以 方便 地 看 到 执行 的 历史 命令 ， 使 用 CtrltR 对 命令 历史 进行 
搜索 ， 对 于 想 要 重复 执行 某 个 命令 的 时 候 非 常 有 用 。 当 找到 命令 后 ， 通 常 再 按 Enter 键 就 可 以 
执行 该 命令 。 如 果 想 对 找到 的 命令 进行 调整 后 再 执行 ， 则 可 以 按 左 或 右 方向 键 。 使 用 “!” 可 
以 方便 地 执行 历史 命令 。 


【示例 A-30】 


如 想 清除 已 有 的 历史 命令 ， 可 以 使 用 history -c 选项 。 


加 载 中 
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A.3.5 清除 屏幕 clear 

clear 命令 用 于 清空 终端 屏幕 ， 类 似 DOS 下 的 cls 命令 ， 使 用 比较 简单 ， 如 要 清除 当前 屏 
幕 内 容 ， 直 接 键 入 clear 即 可 ， 人 快捷 键 为 Ctrl+L。 

如 果 终 端 有 乱码 ，clear 不 能 恢复 时 可 以 使 用 reset 命令 使 屏幕 恢复 正常 。 


A.3.6 ”查看 系统 负载 uptime 

Linux 系统 中 的 uptime 命令 主要 用 于 获取 主机 运行 时 间 和 查询 Linux 系统 负载 等 信息 。 
uptime 命令 可 以 显示 系统 已 经 运行 了 多 长 时 间 ， 信 息 显示 依次 为 :现在 时 间 、 系 统 已 经 运行 
了 多 长 时 间 、 目 前 有 多 少 登 录用 户 、 系 统 在 过 去 的 1 分 钟 、5 分 钟 和 15 分 钟 内 的 平均 负载 。 
uptime 命令 用 法 十 分 简单 ， 直 接 输 入 uptime 即 可 。 


【示例 A-32】 


06:30:09 表示 系统 当前 时 间 ，up ”8:15 主机 已 运行 时 间 ， 时 间 越 大 ， 说 明 的 机 器 越 稳定 。 
3 users 表示 用 户 连接 数 ， 是 总 连接 数 而 不 是 用 户 数 。load average 表示 系统 平均 负载 ， 统 计 最 
近 1、5、15 分 钟 的 系统 平均 负载 。 系 统 平均 负载 是 指 在 特定 时 间 间 隔 内 运行 队列 中 的 平均 进 
程 数 。 对 于 单 核 CU， 负载 小 于 3 表示 当前 系统 性 能 良好 ;3~10 表示 需要 关注 ， 系 统 负载 可 
能 过 大 ， 需 要 做 对 应 的 优化 ， 大 于 10 表示 系统 性 能 有 严重 问题 。 另 外 15 分 钟 系统 负载 需 重点 
参考 并 作为 当前 系统 运行 情况 的 负载 依据 。 


A.3.7 显示 系统 内 存 状态 free 


free 命令 会 显示 内 存 的 使 用 情况 ， 包 括 实体 内 存 、 虚 拟 的 交换 文件 内 存 、 共 享 内 存 区 段 ， 
以 及 系统 核心 使 用 的 缓冲 区 等 。 


【示例 A-33】 


@ Mem: 表示 物理 内 存 统计 ， 此 示例 中 有 988MB。 

@ -/+buffers/cached: 表示 物理 内 存 的 缓存 统计 。 

@ Swap 表示 硬盘 上 交换 分 区 的 使 用 情况 ， 如 剩余 空间 较 小 ， 需 要 留意 当前 系统 内 存 使 
用 情况 及 负载 。 


附录 A Linux 常用 命令 示例 


第 1 行 数据 16040 表示 物理 内 存 总 量 , 13128 表示 总 计 分 配给 缓存 (包含 buffers 与 cache) 
使 用 的 数量 ， 但 其 中 可 能 部 分 缓存 并 未 实际 使 用 ，2911 表示 未 被 分 配 的 内 存 。shared 为 0， 表 
示 共 享 内 存 ，329 表示 系统 分 配 但 未 被 使 用 的 buffers 数量 ，6265 表示 系统 分 配 但 未 被 使 用 的 
cache 数量 。 

以 上 示例 显示 系统 总 内 存 为 16040MB， 如 需 计算 应 用 程序 占用 内 存 ， 可 以 使 用 以 下 公式 
计算 total -free-buffers-cached=16040-2911-329-6265=6535， 内 存 使 用 百分比 为 6535/16040= 
40%， 表 示 系 统 内 存 资源 能 满足 应 用 程序 需求 。 如 应 用 程序 占用 内 存量 超过 80%， 则 应 该 及 时 
进行 应 用 程序 算法 优化 。 


A.3.8 ”转换 或 拷贝 文件 dd 
dd 命令 可 以 用 指定 大 小 的 块 拷贝 一 个 文件 ， 并 在 拷贝 的 同时 进行 指定 的 转换 。 参 数 使 用 
时 可 以 和 b/e/k 组 合 使 用 。 


本 本 指定 数字 的 地 方 若 以 下 列 字 符 结尾 则 乘 以 相应 的 数字 : b=512; c=1; k=1024; w=2。 


/devnull， 可 以 向 它 输出 任何 数据 ， 而 写 入 的 数据 都 会 丢失 ，/dev/zero 是 一 个 输入 设备 ， 
可 用 来 初始 化 文件 ， 该 设备 无 穷尽 地 提供 0。 


【示例 A-34】 
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hour day month week command， 具 体 说 明 参 考 表 A.2。 


表 A.2 crontab 任务 设置 对 应 参数 说 明 


表示 分 钟 ， 可 以 是 从 0-59 之 间 的 任何 整数 


minute 


hour | 表示 小 时 ， 可 以 是 从 0-23 之 间 的 任何 整数 | 
day | 表示 日 期 ， 可 以 是 从 31 之 问 的 任何 整数 | 
month ”| 表示 月 份 ， 可 以 是 从 1~12 之 间 的 任何 整数 | 
week ”| 表示 星期 几 ， 可 以 是 从 0~7 之 间 的 任何 整数 ， 这 里 的 0 或 7 代表 星期 日 | 


command 要 执行 的 命令 ， 可 以 是 系统 命令 ， 也 可 以 是 自己 编写 的 脚本 文件 

其 中 ，crond 是 Linux 用 来 定期 执行 程序 的 命令 。 当 安装 完 操 作 系统 之 后 ， 默 认 便 会 启动 
此 任务 调度 命令 。crond 命令 每 分 钟 会 定期 检查 是 否 有 要 执行 的 工作 ，crontab 命令 常用 参数 如 
表 A.3 所 示 。 


表 A.3 crontab 命令 常用 参数 说 明 


参数 说 明 


执行 文字 编辑 器 来 编辑 任务 列表 ， 内 定 的 文字 编辑 器 是 VI 
| 删除 目前 的 人 fS% 表 | 


| | 删除 目前 的 任务 列表 
| 4 | 列 出 目前 的 任务 列表 


crontab 一 些 使 用 方法 如 下 所 示 。 


【示例 A-37】 

# 每 月 每 天 每 小 时 的 第 0 分 钟 执行 一 次 /bin/1s : 

DIE Dr/ 

# 在 12 月 内 ， 每 天 的 早上 6 点 到 12 点 中 ,每 隔 20 分 钟 执行 一 次 /usr/bin/backup : 
0 6-12/3 * 12 * /usr/bin/backup 


# 每 两 个 小 时 重启 一 次 apache 
0 */2 * * * /sbin/service httpd restart 
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